HTTP参数污染
文档摘要
HTTP 参数污染 HTTP 参数污染 (HPP) 是一种 Web 攻击规避技术,攻击者可以通过构造 HTTP 请求来操纵 Web 逻辑或获取隐藏信息。这种规避技术的核心在于将攻击向量拆分到多个同名参数实例中(?param1=value¶m1=value)。由于没有正式的 HTTP 参数解析方式,不同的 Web 技术在解析和读取同名 URL 参数时有着各自独特的处理方式:有的取第一个出现的值,有的取最后一个出现的值,还有的将其解析为数组。攻击者会利用这些行为差异来绕过基于模式的安全机制。 摘要 工具 方法论 参数污染表 参数污染载荷 参考文献 工具 Burp Suite: 手动修改请求以测试重复参数。 OWASP ZAP: 拦截并操作 HTTP 参数。
评论区
(0)
U