Adulterao de Parmetros Web

Descrio

O ataque de Adulterao de Parmetros Web se baseia na manipulao de parmetros trocados entre cliente e servidor, a fim
de modificar os dados do aplicativo, tais como credenciais de usurios e permisses, preo e quantidade de produtos, etc.
Normalmente, essas informaes so armazenadas em cookies, forma oculta campos, ou sequncias de consulta de URL e
usada para aumentar a funcionalidade e controle de aplicativos.

Este ataque pode ser executado por um usurio mal-intencionado que quer explorar a aplicao em seu prprio benefcio, o
u um atacante que deseja atacar uma terceira pessoa usando um ataque Man-in-the-middle. Em ambos os casos, as ferr
amentas gostam de WebScarab e Paros Proxy que so utilizados principalmente.

O sucesso de ataque depende da integridade e validao de erros mecanismo de lgica, e sua explorao pode resultar em o
utras conseqncias, incluindo XSS, Injeo SQL, incluso de arquivos, e os ataques de divulgao de caminho.

Para um pequeno vdeo que descreve a vulnerabilidade: http://www.youtube.com/watch?v=l5LCDEDn7FY&hd=1 (Co

rtesia de Checkmarx)

Exemplos

Exemplo 1 ~

A modificao dos parmetros dos campos de formulrio pode ser considerado como um exemplo tpico do ataque de aldul
terao de parmetros.

Por exemplo, considere um usurio que pode selecionar valores de campo de formulrio (caixa de combinao, caixa, etc c
heque) em uma pgina do aplicativo. Quando esses valores so submetidos pelo usurio, que podem ser adquiridos e arbit
rariamente manipulados por um invasor.

Exemplo 2 ~

Quando uma aplicao web usa campos ocultos para armazenar as informaes de status, um usurio malicioso pode mexer
com os valores armazenados no seu navegador e alterar as informaes a que se refere. Por exemplo, um e-commerce sit
e de compras usa campos ocultos para se referir aos seus itens, como segue:
<input type= hidden id= 1008 name= cost value= R$ 70,00 >

Nesse exemplo, o atacante pode modificar a informao do valor "value" de um item especficado reduzindo assim o seu
custo.

Exemplo 3 ~

Um atacante pode manipular parmetros de URL diretamente. Por exemplo, considere uma aplicao web que permite qu
e um usurio selecione seu perfil a partir de uma caixa de combinao e de dbito na conta:

http://www.attackbank.com/default.asp?profile=741&debit=1000

Neste caso, um invasor pode adulterar a URL, utilizar outros valores para o perfil e dbito:

http://www.attackbank.com/default.asp?profile=852&debit=2000

Outros parmetros podem ser alterados, incluindo parmetros de atributo. No exemplo a seguir, possvel mexer com a va
rivel de estado e excluir uma pgina do servidor:

http://www.attackbank.com/savepage.asp?nr=147&status=read

Modificando o status da varivel para deletar a pgina:

http://www.attackbank.com/savepage.asp?nr=147&status=del