Загрязнение параметров HTTP - HTTP parameter pollution
HTTP |
---|
Способы запроса |
Поля заголовка |
Коды состояния |
Методы контроля доступа безопасности |
Уязвимости безопасности |
Загрязнение параметров HTTP Короче говоря, HPP - это уязвимость, которая возникает из-за передачи нескольких параметров с одинаковым именем. Здесь нет RFC стандарт того, что следует делать при передаче нескольких параметров. Эта уязвимость была впервые обнаружена в 2009 году.[1] ГЭС можно использовать для поперечного загрязнения каналов, в обход CSRF защита и WAF проверки ввода.[2]
Поведение
Вот как ведет себя серверная часть при передаче нескольких параметров с одинаковым именем
Технологии | Результат разбора | Пример |
---|---|---|
ASP.NET/IIS | Все вхождения объединяются запятой | параметр = значение1, значение2 |
ASP / IIS | Все вхождения объединяются запятой | параметр = значение1, значение2 |
PHP / Apache | Только последнее появление | param = val2 |
PHP / Зевс | Только последнее появление | param = val2 |
JSP, сервлет / Apache Tomcat | Только первое появление | param = val1 |
JSP, сервлет / сервер приложений Oracle | Только первое появление | param = val1 |
JSP, сервлет / пристань | Только первое появление | param = val1 |
IBM Lotus Domino | Только последнее появление | param = val2 |
IBM HTTP Server | Только первое появление | param = val1 |
mod_perl, libapreq2 / Apache | Только первое появление | param = val1 |
Perl CGI / Apache | Только первое появление | param = val1 |
mod_wsgi (Python) / Apache | Только первое появление | param = val1 |
Python / Zope | Все вхождения в списке (массив) | param = ['значение1', 'значение2'] |
Типы
Сторона клиента
На стороне сервера
Профилактика
Правильная проверка вводимых данных и осведомленность о веб-технологиях на HPP - это защита от загрязнения параметров HTTP.[4]
Смотрите также
Рекомендации
- ^ а б "WSTG - Последнее: Тестирование на предмет загрязнения HTTP-параметров".
- ^ "Уязвимости, связанные с загрязнением HTTP-параметров в веб-приложениях" (PDF). 2011.
- ^ а б c d е Лука Кареттони и Стефано Ди Паола. «Загрязнение параметров HTTP» (PDF).CS1 maint: использует параметр авторов (связь)
- ^ «Как обнаружить атаки, связанные с загрязнением параметров HTTP».
Этот Всемирная паутина –Связанная статья является заглушка. Вы можете помочь Википедии расширяя это. |