首页 > 代码库 > HTTP参数污染
HTTP参数污染
HTTP Parameter Pollution简称HPP,所以有的人也称之为“HPP参数污染”。
一篇很不错关于HPP参数污染的文章:http://www.paigu.com/a/33478/23535461.html
如文章中所言,HPP并非一个漏洞,但是网站存在SQL或者XSS,在有WAF的情况之下可以帮助黑客进行绕过WAF。
那么什么是HPP参数污染呢?
原本的正常搜索URL是:https://www.baidu.com/s?ie=UTF-8&wd=珍惜少年时博客
我再添加一个wd参数:https://www.baidu.com/s?ie=UTF-8&wd=珍惜少年时博客&wd=我想要成为网络大牛
360搜索会理解为123
雅虎会理解为:
谷歌会理解为:
110 911
这个URL:http://www.xxxx.com/search.php?id=110&id=911
百度会理解成让百度搜索:110 #选择了第一个参数,放弃了第二个参数。
雅虎会理解成让雅虎搜索:911 #选择了第二个参数,放弃了第一个参数。
谷歌会理解成让谷歌搜索:110 911 #两个参数同时选择。
现在的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理。因此web程序组件在遇到这类问题时采取的方法也不完全相同。
HTTP参数污染
声明:以上内容来自用户投稿及互联网公开渠道收集整理发布,本网站不拥有所有权,未作人工编辑处理,也不承担相关法律责任,若内容有误或涉及侵权可进行投诉: 投诉/举报 工作人员会在5个工作日内联系你,一经查实,本站将立刻删除涉嫌侵权内容。