Mass Assignment — Affectation non voulue

API Privilege Escalation

Principe et exploitation

Le Mass Assignment survient quand une API lie automatiquement TOUS les champs JSON à un objet, sans liste blanche. Un attaquant peut injecter des champs comme "role" ou "isAdmin".

# Formulaire normal :
POST /api/register
{"username":"alice","email":"a@a.com","password":"pass"}

# Avec champs additionnels non documentés :
POST /api/register
{"username":"alice","password":"pass",
 "role":"admin","isVerified":true,"credits":999999}

Défenses

Liste blanche explicite des champs autorisés (DTO/serializers) · Ne jamais passer req.body directement à un ORM · Séparer les champs modifiables par l'utilisateur de ceux gérés par le système