REST api parameters pollution & données structurées (JSON/XML)

Auteur: Brouettelover 2024-01-25 20:34:48
Categories: > > Tags:

Description

Il est possible qu’un attaquand puissant manipuler certaines vulnérabilité quand le serveur traite les données JSON ou XML.

Considérons une application qui permet d’éditer un profil utilisateur.

La requête vers le serveur :

POST /myaccount
name=peter

La requête envoyé à l’API sera :

PATCH /users/7312/update
{"name":"peter"}

On pourrait tenter de modifier les droits avec ce genre de requête :

POST /myaccount
name=peter","access_level":"administrator

Ce qui enverait à l’API :

PATCH /users/7312/update
{name="peter","access_level":"administrator"}

Ce qui pourrait revenir à donner les droits à l’utilisateur peter.

Le même exemple en JSON :

POST /myaccount
{"name": "peter\",\"access_level\":\"administrator"}
REST api parameters pollution
Les softs links & Hard links