参数篡改(Parameter Tampering):此类攻击是基于对客户端和服务器之间交换参数的操纵控制,它通过修改Web应用交互中存储在cookies、提交请求、隐藏表单字段或URL查询字符串中涉及的数据参数,如用户凭证、权限、产品价格、数量等,来实现控制和更改Web应用功能。参数篡改攻击的目的是为了获取利益,或利用中间人攻击来深入攻击其他人。
在这里,参数篡改涉及的漏洞无疑就是价格操纵了,这是当今很多电子商务网站在线购物车和支付网关中存在的普遍漏洞。
出于保密原因,我们把目标电子商务网站称为redacted.com。该网站存在的主要问题在于,它们只对用户购物车中的某件商品数量做了最大上限:10件,但却忘记对其商品数量下限做出限制,因此,任何人可以把购物车中的某件商品数量减少至负数,从而在购物车中添加负数的商品数量和支付金额。ZG文库网