An adversary exploits a weakness in the server's trust of client-side processing by modifying data on the client-side, such as price information, and then submitting this data to the server, which processes the modified data. For example, eShoplifting is a data manipulation attack against an on-line merchant during a purchasing transaction. The manipulation of price, discount or quantity fields in the transaction message allows the adversary to acquire items at a lower cost than the merchant intended. The adversary performs a normal purchasing transaction but edits hidden fields within the HTML form response that store price or other information to give themselves a better deal. The merchant then uses the modified pricing information in calculating the cost of the selected items.
Description
Attack Execution Flow
Step 1
Explore[Probe target web application] The adversary first probes the target web application to find all possible pages that can be visited on the website.
Use a spidering tool to follow and record all links
Use a proxy tool to record all links visited during a manual traversal of the web application.
[Indaga sull'applicazione web target] L'attore adversario esegue prima un'indagine sull'applicazione web target per identificare tutte le possibili pagine visitabili sul sito.
Utilizza uno strumento di spidering per seguire e registrare tutti i link
Utilizza uno strumento proxy per registrare tutti i link visitati durante una navigazione manuale dell'applicazione web.
Attack Techniques
-
Use a proxy tool to record all links visited during a manual traversal of the web application.
-
Use a spidering tool to follow and record all linksIT: Utilizza uno strumento proxy per registrare tutti i link visitati durante una navigazione manuale dell'applicazione web.
Step 2
Explore[Find hidden fields] Once the web application has been traversed, the adversary looks for all hidden HTML fields present in the client-side.
Use the inspect tool on all modern browsers and filter for the keyword 'hidden'
Specifically look for hidden fields inside form elements.
[Trova campi nascosti] Una volta attraversata l'applicazione web, l'attaccante cerca tutti i campi HTML nascosti presenti nel lato client.
Utilizza lo strumento di ispezione su tutti i browser moderni e filtra per la parola chiave "hidden"
In particolare, cerca campi nascosti all'interno degli elementi form.
Attack Techniques
-
Use the inspect tool on all modern browsers and filter for the keyword "hidden"
-
Specifically look for hidden fields inside form elements.IT: Utilizza lo strumento di ispezione su tutti i browser moderni e filtra per la parola chiave "hidden"
Step 3
Experiment[Send modified hidden fields to server-side] Once the adversary has found hidden fields in the client-side, they will modify the values of these hidden fields one by one and then interact with the web application so that this data is sent to the server-side. The adversary observes the response from the server to determine if the values of each hidden field are being validated.
[Invio di campi nascosti modificati al server-side] Una volta che l'attaccante ha individuato i campi nascosti nel client-side, modificherà i valori di questi campi nascosti uno per uno e quindi interagirà con l'applicazione web affinché questi dati vengano inviati al server-side. L'attaccante osserva la risposta del server per determinare se i valori di ciascun campo nascosto vengono convalidati.
Step 4
Exploit[Manipulate hidden fields] Once the adversary has determined which hidden fields are not being validated by the server, they will manipulate them to change the normal behavior of the web application in a way that benefits the adversary.
Manipulate a hidden field inside a form element and then submit the form so that the manipulated data is sent to the server.
[Manipolazione dei campi nascosti] Una volta che l'attaccante ha determinato quali campi nascosti non vengono convalidati dal server, li manipolerà per modificare il comportamento normale dell'applicazione web in modo favorevole all'attaccante.
Manipolare un campo nascosto all’interno di un elemento form e poi inviare il modulo in modo che i dati manipolati siano trasmessi al server.
Attack Techniques
-
Manipulate a hidden field inside a form element and then submit the form so that the manipulated data is sent to the server.
Consequences
Consequence Information
{'impacts': [], 'impacts_translate': [], 'scopes': [], 'scopes_translate': []}