• Diensten
    • Pentest
    • Netwerk Pentest
    • Website Security Check
    • WebShepherd
    • Phishing Campagne
    • Mystery Guest
    • Vulnerability Management
    • Incident Response
    • Quickscan
  • NetCaptain
  • Kennisbank
  • Partners
    • MSP
  • Over ons
    • Contact
    • Waarom CyberAnt
    • ISO 9001 en ISO 27001
    • Kennisgroep Cyber Security
    • Nieuws
    • Vacatures
  • Inloggen
  • NL
    • EN
  • Menu Menu

Wat is een mass assignment aanval?

Mass-assignment, soms ook wel over-posting aanval genoemd, is een aanval op (web)applicaties waarbij een aanvaller willekeurig elementen van een object aan kan passen. Met name applicatie die gebruik maken van model-binding bij een request kunnen kwetsbaar zijn voor deze aanval. Bij model-binding hoeft een developer geen code te schrijven welke velden binnen een formulier binnen komen. Dit wordt gebruikt om code te besparen. Een aanvaller kan dit echter gebruiken om andere velden uit de database / het object te veranderen.

Mass assignment aanval

Hoe werkt mass assignment?

Stel een applicatie heeft een object of tabel met de volgende velden:

name = "John"
isAdmin = False

De applicatie heeft een formulier om de naam aan te passen. Wanneer dit verstuurd wordt, verstuurt de client het volgende request:

POST /profile HTTP/1.1
Host: example.com

field[name]=John

Nu passen we het request aan naar het volgende:

POST /profile HTTP/1.1
Host: example.com

field[isAdmin]=True

Als de applicatie kwetsbaar is, zal deze de het veld is Admin aanpassen in plaats van het veld name.

In de praktijk

Mass-assignment kwetsbaarheden zijn vaak moeilijk handmatig te vinden, omdat de aanvaller moet weten hoe het datamodel van de applicatie in elkaar steekt. In het bovenstaande voorbeeld moet de aanvaller maar net weten dat de property “isAdmin” bestaat. Toch komen dergelijke kwetsbaarheden voor, vaak met grote gevolgen. Een bekend voorbeeld is de kwetsbaarheid bij GitHub, waarmee het mogelijk was om willekeurige repositories over te nemen middels over posting. De beste manier om dergelijke kwetsbaarheden op te sporen is door het gebruik van een Static Code Analyzer, zoals Fortify. In het geval van Fortify zal de tool een bevinding genaamd “Mass assignment secure binder” geven.

Hoe te voorkomen?

De oplossing is niet direct evident, aangezien ieder framework een eigen implementatie van binding heeft. Echter is het vaak mogelijk om aan te geven welk properties wel en niet aangepast mogen worden. Een meer generieke oplossing is om voor de binding te checken welke velden binnen komen.

Zoeken

Search Search

Recente berichten

  • SharePoint kwetsbaarheid CVE-2026-45659 actief misbruikt
  • Pin of geen pin: de afweging rond certificate pinning in mobiele apps
  • TrapDoor supply-chain-aanval steelt wachtwoorden van ontwikkelaars
  • Magecart aanval maakt 8,8 miljoen slachtoffers wereldwijd
  • Opnieuw malware aangetroffen in VS Code Extensies

CyberAnt is ISO gecertificeerd

Iso gecertificeerd

Tags

.DS Store anti-virus AWS broken access control clickjacking Cryptographic Failures cyberaanval CyberAnt Cybercrime cybercriminelen CyberRisk Cyber Security Datalek Entity injection Etisch Hacker Hacker Insecure Design Instellingen AWS ISO 9001 ISO 27001 IT Infrastructuur beschermen malware Mass Assignment aanval Monitoring Kwetsbaarheden NetCaptain NetCat shell upgraden Netgear ProSAFE switches Open web application Security project Owasp path traversal penetration test pentest Ransomeware aanval Ransomware Responsible Disclosure secure coding Security Audit Security audits Security Misconfiguration Server-side request forgery (SSRF) Social Engineering SQL Injection supply chain attack Veilige webshop vulnerability management
CyberAnt is ISO gecertificeerd

Diensten

  • Pentest
  • Netwerk Pentest
  • NetCaptain
  • Website Security Check
  • WebShepherd
  • Phishing Campagne
  • Mystery Guest
  • Incident Response

Cyberant

  • Waarom CyberAnt
  • Partners
  • Kennisbank
  • Nieuws
  • Over ons

Contact

Marconiweg 1
3899 BR Zeewolde

info@cyberant.com
+31 (0)85 047 1590

© Copyright - CyberAnt 2024
  • Link naar Facebook
  • Link naar LinkedIn
  • Link naar Mail
Link naar: Ransomware: Alleen anti-virus is onvoldoende Link naar: Ransomware: Alleen anti-virus is onvoldoende Ransomware: Alleen anti-virus is onvoldoenderansomeware aanvalCyberAnt.com Link naar: Wat is path traversal? Link naar: Wat is path traversal? Path TraversalCyberAnt.comWat is path traversal?
Scroll naar bovenzijde Scroll naar bovenzijde Scroll naar bovenzijde

Deze site maakt gebruik van cookies. Door verder te surfen op de site gaat u akkoord met ons gebruik van cookies.

Accepteer instellingenVerberg de mededeling enkelInstellingen

Cookie en privacy instellingen



Hoe wij cookies gebruiken

We kunnen vragen om cookies op uw apparaat te plaatsen. We gebruiken cookies om ons te laten weten wanneer u onze websites bezoekt, hoe u met ons omgaat, om uw gebruikerservaring te verrijken en om uw relatie met onze website aan te passen.

Klik op de verschillende rubrieken voor meer informatie. U kunt ook enkele van uw voorkeuren wijzigen. Houd er rekening mee dat het blokkeren van sommige soorten cookies van invloed kan zijn op uw ervaring op onze websites en de services die we kunnen bieden.

Essentiële Website Cookies

Deze cookies zijn strikt noodzakelijk om u diensten aan te bieden die beschikbaar zijn via onze website en om sommige functies ervan te gebruiken.

Omdat deze cookies strikt noodzakelijk zijn om de website te leveren, heeft het weigeren ervan invloed op het functioneren van onze site. U kunt cookies altijd blokkeren of verwijderen door uw browserinstellingen te wijzigen en alle cookies op deze website geforceerd te blokkeren. Maar dit zal u altijd vragen om cookies te accepteren/weigeren wanneer u onze site opnieuw bezoekt.

We respecteren volledig als u cookies wilt weigeren, maar om te voorkomen dat we u telkens opnieuw vragen vriendelijk toe te staan om een cookie daarvoor op te slaan. U bent altijd vrij om u af te melden of voor andere cookies om een betere ervaring te krijgen. Als u cookies weigert, zullen we alle ingestelde cookies in ons domein verwijderen.

We bieden u een lijst met opgeslagen cookies op uw computer in ons domein, zodat u kunt controleren wat we hebben opgeslagen. Om veiligheidsredenen kunnen we geen cookies van andere domeinen tonen of wijzigen. U kunt deze controleren in de beveiligingsinstellingen van uw browser.

Overige externe diensten

We gebruiken ook verschillende externe services zoals Google Webfonts, Google Maps en externe videoproviders. Aangezien deze providers persoonlijke gegevens zoals uw IP-adres kunnen verzamelen, kunt u ze hier blokkeren. Houd er rekening mee dat dit de functionaliteit en het uiterlijk van onze site aanzienlijk kan verminderen. Wijzigingen zijn pas effectief zodra u de pagina herlaadt

Google Webfont Instellingen:

Google Maps Instellingen:

Google reCaptcha instellingen:

Vimeo en Youtube video's insluiten:

Privacybeleid

U kunt meer lezen over onze cookies en privacy-instellingen op onze Privacybeleid-pagina.

Privacyverklaring
Accepteer instellingenVerberg de mededeling enkel