parameter tampering：参数值窜改

参数值窜改（parameter tampering）是网络攻击的一种形式，其中在URL中的某些参数或由用户输入的网页形式领域数据都在没有得到用户授权的情况下改变了。这导致浏览器（browser）指向一个不是用户想去的链接、网页或网站（尽管对随机观测者来说它们看上去几乎一样）。

　　参数值窜改（parameter tampering）可能被罪犯和微分盗窃者（identity thief）采用来不正当获取用户的个人或商业信息。防止参数值窜改的具体对策包括对所有参数值进行验证来保证它们符合相关标准允许的最小及最大长度、数值范围、字符顺序和字形，讨论的交易中是否确实需要这些参数值，是否允许空值。

　　只接收有效输入的白名单比拒绝接受禁止输入的黑名单更有效。如果网络应用防火墙（firewall）已经为使用中的网站配置恰当，它可以提供一些针对参数值窜改（parameter tampering）的保护措施。总的来说，可以通过执行严格的应用安全例程和确保例程保持最新状态来最小化电脑或网络在参数值窜改（parameter tampering）上的弱点。

　　另见：代理入侵（proxy hacking）、剪贴板拦截攻击（clipboard hijack attack）、缓存投毒（cache poisoning）、IP电子欺骗（IP spoofing）。

最近更新时间：2010-11-24 翻译：徐艳EN