L'attaque en falsification de paramètres Web est basée sur la manipulation des paramètres échangés entre le client et le serveur afin de modifier les données des applications, telles que les informations d'identification utilisateur et les autorisations, le prix et la quantité des produits, etc Habituellement, ces informations sont stockées dans les cookies, champs cachés de formulaires, ou chaînes de requêtes de l'URL et sont utilisées pour augmenter les fonctionnalités d'applications et de contrôles.

Cette attaque peut être effectuée par un utilisateur malveillant qui veut exploiter la demande pour son propre bénéfice, ou un attaquant qui veut attaquer une tierce personne en utilisant une attaque de type Man-in-the-middle. Dans les deux cas, les outils WebScarab et Paros proxy sont principalement utilisés.

Le succès de l'attaque dépend des mécanismes de vérification de l'intégrité, de validation et de traitement des erreurs, et son exploitation peut entraîner d'autres conséquences, y compris XSS, injection SQL, l'inclusion de fichiers, et les attaques de divulgation de chemin.

La modification des champs de formulaire peut être considéré comme un exemple typique de ce type d'attaque.

Par exemple, considérons un utilisateur qui peut choisir les valeurs des champs de formulaire (zone de liste déroulante, case à cocher, etc) sur une page de l'application. Lorsque ces valeurs sont soumises par l'utilisateur, elles peuvent être capturées et arbitrairement manipulées par un attaquant.

Lorsqu'une application web utilise des champs cachés pour stocker des informations d'état, un utilisateur malveillant peut altérer les valeurs stockées sur son navigateur et changer les informations visées.

Par exemple, un site e-commerce d'achat utilise les champs masqués pour se référer à ses articles, comme suit:

<input type=”hidden” id=”1008” name=”cost” value=”70.00”>

Dans cet exemple, un attaquant peut modifier la «valeur» des informations sur un élément spécifique, réduisant ainsi son coût.

Un attaquant peut altérer les paramètres d'URL directement. Par exemple, considérons une application web qui permet à un utilisateur de sélectionner son profil à partir d'une zone de liste déroulante et débiter le compte:

http://www.attackbank.com/default.asp?profile=741&debit=1000

Dans ce cas, un attaquant peut falsifier l'adresse URL, à l'aide d'autres valeurs pour le profil et de débit:

http://www.attackbank.com/default.asp?profile=852&debit=2000

D'autres paramètres peuvent être modifiés y compris les paramètres d'attributs. Dans l'exemple suivant, il est possible de manipuler la variable d'état et de supprimer une page à partir du serveur:

http://www.attackbank.com/savepage.asp?nr=147&status=read

Modification de la variable d'état pour supprimer la page:

http://www.attackbank.com/savepage.asp?nr=147&status=del