Parameter Tampering (engl. Tampering = Maniplulation) entspricht der bewussten Veränderung von Parametern in der Adresszeile oder im HTML-Code, um den Datenaustausch zwischen Webseite und Server zu verfälschen. So können Parameter in Cookies, Formfelder oder direkte Änderungen in der URL vorgenommen werden. Diese Veränderung der Parameter führt bei nicht sicherer Software zu unbefugten Zugriffen oder zum Beispiel zu unbefugtem Verfälschen des Produktpreises im Bezahlprozess. Somit können sowohl sensible Daten anderer Nutzer ergaunert als auch wichtige Variablen in einem Onlineshop manipuliert werden.

Abb. 1: Durch das Verändern von Webseiten-Parametern können Angreifer in diesem Beispiel auf Benutzerkonten zugreifen.

Drei Abfolgen des Parameter Tampering sind typisch. Die Veränderung von URL-Parametern, Formfeldtampering und versteckte Felder Manipulation. Beim URL-Parameter Tampering werden Informationen, wie z. B. die Account-ID, genutzt und so abgeändert, dass unautorisiert Zugang zu einem weiteren Account gewährleitstet wird. Beim Formfeldtampering wird der HTML-Code der entsprechenden Seite aufgerufen und verändert. Auch hier kann z. B. der ID-Code verändert werden, um unberechtigter Weise Zugang zu bekommen. Bei der Manipulation von versteckten Feldern wird die Information, wie z. B. ein fester Kaufpreis, aufgedeckt und abgeändert.

Abb. 2: Angreifer versucht den Online-Store von SupraTix zu hacken, indem er den Preis des Kurses verändert.

Abb. 3: Im HTML-Quelltext hat der Angreifer den Preis verändert. Da SupraTix diese Angriffsart bei der Softwareentwicklung berücksichtigt hat, wird diese Veränderung keine Auswirkungen auf den Preis des Produktes haben.