码迷,mamicode.com
首页 > Web开发 > 详细

HTTP参数污染

时间:2016-12-21 23:55:14      阅读:255      评论:0      收藏:0      [点我收藏+]

标签:博客   amp   理解   https   waf   url   web   网络   parameter   

 HTTP Parameter Pollution简称HPP,所以有的人也称之为“HPP参数污染”。

一篇很不错关于HPP参数污染的文章:http://www.paigu.com/a/33478/23535461.html

如文章中所言,HPP并非一个漏洞,但是网站存在SQL或者XSS,在有WAF的情况之下可以帮助黑客进行绕过WAF。

那么什么是HPP参数污染呢?


 

原本的正常搜索URL是:https://www.baidu.com/s?ie=UTF-8&wd=珍惜少年时博客

我再添加一个wd参数:https://www.baidu.com/s?ie=UTF-8&wd=珍惜少年时博客&wd=我想要成为网络大牛

技术分享

360搜索会理解为123 

 技术分享

 

雅虎会理解为:

技术分享

谷歌会理解为:

110 911

 

这个URL:http://www.xxxx.com/search.php?id=110&id=911

百度会理解成让百度搜索:110                 #选择了第一个参数,放弃了第二个参数。

雅虎会理解成让雅虎搜索:911            #选择了第二个参数,放弃了第一个参数。

谷歌会理解成让谷歌搜索:110 911         #两个参数同时选择。

现在的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理。因此web程序组件在遇到这类问题时采取的方法也不完全相同。

 

HTTP参数污染

标签:博客   amp   理解   https   waf   url   web   网络   parameter   

原文地址:http://www.cnblogs.com/xishaonian/p/6209441.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!