HTTP 參數污染

medium Web App Scanning Plugin ID 113230

語系：

概要

HTTP 參數污染

說明

HTTP 參數污染 (HTTP) 會利用在 HTTP 要求中包含數個同名參數或包含新編碼參數的可能性。視 Web 伺服器而定，系統會以不同的方式剖析參數 (即僅剖析第一次/最後一次出現的參數，或將所有出現的參數串連成一個欄位或陣列)。舉例來說，這可在應用程式的用戶端和伺服器端產生意外的行為，進而誘騙第一個伺服器，或者如果參數隨後傳送至第二個伺服器，則第二個伺服器會以不同的方式進行剖析。

攻擊者可利用這些影響，來繞過輸入驗證、觸發應用程式錯誤，或變更內部變數的值。由於 HTTP 參數污染 (縮寫為 HPP) 會影響所有 Web 技術的一個構建基塊，因此伺服器端攻擊和用戶端攻擊都存在。

解決方案

緩解措施主要取決於應用程式的用途和設計，但通常建議套用深入防禦原則並強制執行控制措施。
在應用程式中，必須不依賴使用者輸入，並對其進行 URL 編碼後再將其包含在輸入中。可使用嚴格的規則運算式。
HTTP 參數污染的特殊性在於，必須考量後端處理多次出現的情況，因為 A 點的篩選可能無法在 B 點運作，而 B 點會以其他方式處理輸入。