Mass Assignment — Affectation non voulue
★★★★★
Principe et exploitation
Le Mass Assignment survient quand une API lie automatiquement TOUS les champs JSON à un objet, sans liste blanche. Un attaquant peut injecter des champs comme "role" ou "isAdmin".
# Formulaire normal :
POST /api/register
{"username":"alice","email":"a@a.com","password":"pass"}
# Avec champs additionnels non documentés :
POST /api/register
{"username":"alice","password":"pass",
"role":"admin","isVerified":true,"credits":999999} Défenses
Liste blanche explicite des champs autorisés (DTO/serializers) · Ne jamais passer req.body directement à un ORM · Séparer les champs modifiables par l'utilisateur de ceux gérés par le système