目录
概念:
漏洞原理:
实战案例总结:
1. 逻辑漏洞(IDOR)
2. 绕过检测(WAF)
挖掘技巧:
修复方案:
概念:
HTTP参数污染,也叫HPP(HTTP Parameter Pollution)。简单地讲就是给一个参数赋上两个或两个以上的值,由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端做出的处理方式是不同的,从而造成解析错误。
漏洞原理:
通过简单的案例可以说明这种处理的差异:
在不同的搜索引擎中进行搜索,在地址栏输入URL:?p=usa&p=china,这里重复相同搜索参数,观察搜索结果的不同:
1)百度接受第一个参数(usa)而放弃第二个参数(china):
2)Yahho接受第二个参数(china)而放弃第一个参数(usa):
3)Google会将两个值都接受,并
