.jpg?ph=756219b9ad)
VULNERABILIDADES DE APLICACIONES WEB: MANIPULACIÓN DE PARÁMETROS
28.12.2017 07:26
El ataque de manipulación de parámetros se basa en la alteración de parámetros intercambiados entre el cliente y el servidor para modificar datos de la aplicación como credenciales de usuario y permisos, precio y cantidad de productos y otros. Por lo general, esta información se almacena en cookies, campos ocultos de formularios HTML o cadenas de consulta de URL.
Tomemos como ejemplo el siguiente código vulnerable:
<!DOCTYPE html>
<html>
<h1>COMPRE SU EXPRIMIDOR POR SÓLO $ 400,00.-</h1>
<body>
<form action="atras.php" method="post">
First name: <input type="text" name="nombre" value=""><br>
<input type="hidden" name="precio" value="400">
<input type="submit" value="Enviar">
</form>
</body>
</html>
Nótese que el campo "hidden", que es el que enviará el precio, no puede ser visto por el usuario. Es un error relativamente común creer que porque no es visto no puede ser alterado, sin embargo el precio puede ser cambiado con total facilidad por el "comprador", sin necesidad de ningún programa especial. El lector podrá comprobarlo con el siguiente código para el archivo "atras.php".
<?php
echo '<pre>';
var_dump($_POST);
echo '</pre>';
?>
Para prevenir el cambio de precio, el mismo debe ser establecido del lado del servidor.