Verb Tampering
| Catégorie | Information |
|---|---|
| TTP | Modification ou abus des méthodes (verbes) HTTP |
| CWE | CWE-275 (Permission Issues) |
| Description de l'attaque | HTTP Verb Tampering implique l'exploitation de la gestion inadéquate des méthodes HTTP (comme GET, POST, DELETE) par une application web. Cela peut permettre à un attaquant d'accéder à des fonctionnalités non autorisées ou de contourner les contrôles de sécurité. |
| Impacts potentiels | - Accès ou modification non autorisée des données - Bypass des restrictions d'accès - Exécution d'actions non autorisées |
| Comment la détecter | - Analyse de sécurité des configurations de serveur web - Tests de pénétration ciblant la gestion des méthodes HTTP - Revue de code pour la gestion des méthodes HTTP |
| Remédiations/mitigations | - Restriction et sécurisation de l'utilisation des méthodes HTTP dans les applications web - Implémentation de contrôles d'accès et de validation appropriés pour chaque méthode HTTP - Utilisation de pare-feux d'applications web (WAF) pour filtrer les requêtes malveillantes |
| Lien de référence | OWASP - Testing for HTTP Verb Tampering |