Cette attaque a pour but de modifier les paramètres d'application dans le but de produire des données trompeuses ou donner des privilèges en faveur de l'attaquant. Il peut manipuler des valeurs dans le système et gérer les ressources spécifiques des utilisateurs de l'application ou affecter ses fonctionnalités.

Un attaquant peut exploiter plusieurs fonctionnalités de l'application en utilisant cette technique d'attaque, mais il n'est pas possible d'en décrire toutes les voies d'exploitation, en raison des options innombrables qu'unattaquant peut utiliser pour contrôler les valeurs système.

En utilisant cette technique d'attaque, il est possible de manipuler les paramètres en modifiant les fonctions de l'application, tels que les appels à la base de données, en bloquant l'accès à des bibliothèques externes et / ou en modifiant des fichiers journaux.

Un attaquant doit identifier les variables qui dont la saisie n'a pas besoins d'être validée ou celles qui peuvent être encapsulées pour parvenir à réaliser cette attaque.

L'exemple suivant est basé sur ceux qu'on trouve dans « Individual CWE Dictionary Definition » (Setting Manipulation-15).

Considérons le morceau de code Java suivant :

…
conn.setCatalog(request.getParameter(“catalog”));
…

Ce fragment lit la chaîne “catalog” de “HttpServletRequest» et la définit comme le catalogue actif pour une connexion de base de données. Un attaquant pourrait manipuler cette information et provoquer une erreur de connexion ou d'accès non autorisé à d'autres catalogues.

L'attaquant doit avoir les privilèges de bloquer l'accès aux applications de bibliothèques externes pour exécuter cette attaque. Il est nécessaire de découvrir comment les bibliothèques externes sont accessibles par l'application et de les bloquer. L'attaquant doit observer si le comportement du système passe en état d'insécurité / instable.

Dans ce cas, l'application utilise un chiffrement tierce partie aléatoire en utilisant une bibliothèque de génération de nombres pour générer des ID de session utilisateur. Un attaquant peut bloquer l'accès à cette bibliothèque en le renommant. Ensuite, l'application utilise une pseudo bibliothèque générant des nombres aléatoires faibles. L'attaquant peut utiliser cette faiblesse pour prédire l'iD de Session de l'utilisateur, il peut tenter d'effectuer l'élévation de privilèges et accèder au compte de l'utilisateur.

Pour plus de détails au sujet de cette attaque, voir:

• http://capec.mitre.org/data/definitions/96.html