HTTP参数污染

HTTP Parameter Pollution简称HPP,所以有的人也称之为“HPP参数污染”。

一篇很不错关于HPP参数污染的文章:http://www.paigu.com/a/33478/23535461.html

如文章中所言,HPP并非一个漏洞,但是网站存在SQL或者XSS,在有WAF的情况之下可以帮助黑客进行绕过WAF。

那么什么是HPP参数污染呢?


原本的正常搜索URL是:https://www.baidu.com/s?ie=UTF-8&wd=珍惜少年时博客

我再添加一个wd参数:https://www.baidu.com/s?ie=UTF-8&wd=珍惜少年时博客&wd=我想要成为网络大牛

360搜索会理解为123

雅虎会理解为:

谷歌会理解为:

110 911

这个URL:http://www.xxxx.com/search.php?id=110&id=911

百度会理解成让百度搜索:110                 #选择了第一个参数,放弃了第二个参数。

雅虎会理解成让雅虎搜索:911            #选择了第二个参数,放弃了第一个参数。

谷歌会理解成让谷歌搜索:110 911         #两个参数同时选择。

现在的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理。因此web程序组件在遇到这类问题时采取的方法也不完全相同。

时间: 2024-10-23 02:05:32

HTTP参数污染的相关文章

学习笔记 HTTP参数污染注入

HTTP参数污染注入源于网站对于提交的相同的参数的不同处理方式导致. 例如: www.XX.com/a?key=ab&key=3 如果服务端返回输入key的值,可能会有 一: ab 二:3 三:ad3 这三种不同的方式. 具体服务端处理方式如下: Web服务器 参数获取函数 获取到的参数 PHP/Apache $_GET("par") Last JSP/Tomcat Request.getParameter("par") First Perl(CGI)/Ap

"永哥和你聊安全"系列之——谈HTTP参数污染

这期内容永哥想和大家聊聊HTTP参数污染及其防御方法.首先,永哥需要指出,HTTP参数污染不是一个漏洞,而是服务器端根据配置的不同所显示出的不同特性.如果网站存在SQL注入或者是XSS等漏洞,并且有相应的防护措施,那么HTTP参数污染可能会帮助攻击者绕过这些防御措施. HTTP参数污染,简单地讲就是给一个参数赋上两个或两个以上的值.现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理.因此web程序组件在遇到这类问题时采取的方法也不完全相同. 首先,先来看一下,不同的网站在处

SQLMAP参数介绍

转自:http://zhan.renren.com/bugpower?gid=3602888498044629629&checked=true SQLMAP参数介绍 sqlmap的使用方式:python sqlmap.py [options]: sqlmap中一共有以下十六个选项卡: 帮助选项卡: Target(目标选项卡): Request(请求选项卡): Optimization(优化选项卡): Injection(注射选项卡): Detection(探测选项卡): Techniques(注

[转载]我的WafBypass之道(SQL注入篇)

现在位置: 首页 > 文章 > Web安全 > 正文 我的WafBypass之道(SQL注入篇) 2016 /11/23 16:16 6,444 评论 3 条 [本文转自安全脉搏战略合作伙伴先知技术社区 原帖地址  安全脉搏编辑huan9740整理发布] 0x00 前言 去年到现在就一直有人希望我出一篇关于waf绕过的文章,我觉得这种老生常 谈的话题也没什么可写的. 很多人一遇到waf就发懵,不知如何是好,能搜到的各 种姿势也是然并卵. 但是积累姿势的过程也是迭代的,那么就有了此文,用来

sqlmap用户手册 | WooYun知识库

sqlmap用户手册 说明:本文为转载,对原文中一些明显的拼写错误进行修正,并标注对自己有用的信息. 原文:http://drops.wooyun.org/tips/143 =================================================================== 当给sqlmap这么一个url (http://192.168.136.131/sqlmap/mysql/get_int.php?id=1) 的时候,它会: 1.判断可注入的参数 2.判断可

安全测试指南

测试方法 1.Web应用安全测试 1.1. Web应用安全测试概述 Web应用安全测试只侧重于评估Web应用的安全性.这个过程包括主动分析应用程序的所有弱点.技术缺陷和漏洞.任何被发现的安全问题连同影响评估.缓解建议或者技术方案一起提交给系统所有者. 1.2. 什么是OWASP测试方法 测试模型 测试人员:执行测试活动的人 工具和方法:本测试指南项目的核心 应用:黑盒测试的对象 测试阶段 阶段1. 被动模式: 阶段2.  主动模式: 2.信息收集测试 2.1 搜索引擎信息收集 2.2 Web服务

SQLMap用户手册【超详细】

http://192.168.136.131/sqlmap/mysql/get_int.php?id=1 当给sqlmap这么一个url的时候,它会: 1.判断可注入的参数 2.判断可以用那种SQL注入技术来注入 3.识别出哪种数据库 4.根据用户选择,读取哪些数据 sqlmap支持五种不同的注入模式: 1.基于布尔的盲注,即可以根据返回页面判断条件真假的注入. 2.基于时间的盲注,即不能根据页面返回内容判断任何信息,用条件语句查看时间延迟语句是否执行(即页面返回时间是否增加)来判断. 3.基于

Bypass WAF Cookbook

PS.之前一直想把零零碎碎的知识整理下来,作为知识沉淀下来,正好借着wooyun峰会的机会将之前的流程又梳理了一遍,于是就有了下文.也希望整理的内容能给甲方工作者或则白帽子带来一些收获. 0x00 概述 随着网络安全越来越受到重视,发展越来越快.随之也出现了越来越多的安全防护的软件.例如有: 1.云waf:[阿里云盾,百度云加速,360网站卫士,加速乐等] 2.传统安全厂商的硬件waf以及一直存在的ips,ids设备:[绿盟,启明,深信服,安恒等] 3.主机防护软件如安全狗,云锁: 4.软waf

TSRC挑战赛:WAF之SQL注入绕过挑战实录

转自腾讯 博文作者:TSRC白帽子 发布日期:2014-09-03 阅读次数:1338 博文内容: 博文作者:lol [TSRC 白帽子] 第二作者:Conqu3r.花开若相惜 来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,而且自己平时接触WAF的机会也比较多,对于WAF绕过的方法还是有一定积累的. 比赛规则就是绕过四台被tencent WAF保护的测试服务器(分别为:apache GET.apache P