HTTP Verb Tampering

Beim HTTP Verb Tampering werden nicht erlaubte HTTP Methoden genutzt. Meistens werden GET oder POST Anfragen benutzt. Doch auch andere Methoden können benutzt werden. Wird beispielsweise eine Funktion angeboten, die ein 401 Unauthorized zurückgibt kann die Methode geändert werden z.B. zu HEAD, OPTIONS, PUT. Wurde die Webseite falsch konfiguriert könnte es möglich sein mit einer Methode die Authentifizierung zu umgehen.

Auch gibt es die Möglichkeit, dass es sicherheitslücken in der programmlogik gibt. Also ein Sicherheitsfilter angewandt wird, dieser prüft auf schadhafte zeichen. Allerdings nur auf der Methode die für diese Eingabe vorgesehen ist. So kann es passieren, dass die Anfrage bei einem GET als schadhaft gewertet wird, aber bei einer POST Anfrage funktioniert.