Description
Il est possible qu’un attaquand puissant manipuler certaines vulnérabilité quand le serveur traite les données JSON ou XML.
Considérons une application qui permet d’éditer un profil utilisateur.
La requête vers le serveur :
POST /myaccount
name=peter
La requête envoyé à l’API sera :
PATCH /users/7312/update
{"name":"peter"}
On pourrait tenter de modifier les droits avec ce genre de requête :
POST /myaccount
name=peter","access_level":"administrator
Ce qui enverait à l’API :
PATCH /users/7312/update
{name="peter","access_level":"administrator"}
Ce qui pourrait revenir à donner les droits à l’utilisateur peter.
Le même exemple en JSON :
POST /myaccount
{"name": "peter\",\"access_level\":\"administrator"}