HTTP 参数污染

medium Web App Scanning 插件 ID 113230

语言：

简介

HTTP 参数污染

描述

HTTP 参数污染 (HTTP) 会利用在 HTTP 请求中包含多个具有相同名称的参数的可能性，或通过包含新的编码参数来进行利用。根据 Web 服务器，其参数的解析方式会有所不同（即仅解析第一次/最后一次出现的参数，或是将所有出现的参数连接成一个字段或数组）。这会在应用程序的客户端和服务器端造成意外行为，进而欺骗第一台服务器，亦或随后将参数传递到将以不同方式解析它的第二台服务器。

通过利用这些影响，攻击者可能绕过输入验证、触发应用程序错误或更改内部变量的值。HTTP 参数污染（缩写为 HPP）会影响所有 Web 技术的一个构建基块，因此服务器端和客户端攻击均存在。

解决方案

缓解措施主要取决于应用程序用途和设计，但通常情况下建议应用深度防御原则并强制执行控制措施。
在应用程序中，必须不依赖用户输入并对其进行 URL 编码，然后将其包含在输入中。可以使用严格的正则表达式。
HTTP 参数污染的一个特殊性是，必须考虑后端处理多次出现的情况，因为 A 点的筛选在 B 点可能不起作用，而 B 点将以另一种方式处理输入。