HTTP参数污染(HPP)漏洞

最新推荐文章于 2024-08-11 23:54:14 发布
最新推荐文章于 2024-08-11 23:54:14 发布
阅读量9.6k 收藏 7
点赞数 3
分类专栏: Web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/93765890
版权
HTTP参数污染(HPP)是指在HTTP请求中相同参数名重复出现,不同服务器处理方式各异,可能引发逻辑判断漏洞。此漏洞与服务器环境及脚本相关,可用于绕过某些安全防护,对客户端和服务端构成潜在威胁。
摘要由CSDN通过智能技术生成

HPP(HTTP参数污染)

HPP是HTTP Parameter Pollution的缩写,意为HTTP参数污染。
原理:浏览器在跟服务器进行交互的过程中,浏览器往往会在GET/POST请求里面带上参数,这些参数会以 名称-值 对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接:http://www.baidu.com?name=aa&name=bb ,针对同样名称的参数出现多次的情况,不同的服务器的处理方式会不一样。有的服务器是取第一个参数,也就是name=aa。有的服务器是取第二个参数,也就是name=bb。有的服务器两个参数都取,也就是name=aa,bb 。这种特性在绕过一些服务器端的逻辑判断时,非常有用。

HPP漏洞,与Web服务器环境、服务端使用的脚本有关。如下是不同Web服务器对于出现多个参数时的选择:

了解本专栏 订阅专栏 解锁全文 超级会员免费看
谢公子
关注
专栏目录
订阅专栏
参数污染漏洞HPP)挖掘技巧及实战案例全汇总
墨痕诉清风的博客
07-03 86
简单地讲就是给一个参数赋上两个或两个以上的值,由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端做出的处理方式是不同的,从而造成解析错误。这里5318415是我的ID,但将我的actorId替换为对方的ID,会收到“401 Unauthorized”错误,说明此处做了鉴权操作。2、代码层面,编写WEB程序时,要通过合理的$_GET方法获取URL中的参数值,而尝试获取web服务器返回给程序的其他值时要慎重处理,结合其他漏洞的产生进行组合排查。
web渗透测试----32、HTTP Parameter Pollution(HTTP参数污染
七天
06-22 2002
文章目录一、HPP二、HPP的作用三、HTTP参数处理图 一、HPP HTTP Parameter Pollution即HTTP参数污染,简称HPP。是web容器处理HTTP参数的一种方式。 HTTP 参数污染 (HPP) 是一种 Web 攻击规避技术,允许攻击者通过更改 HTTP 请求以操纵或搜索隐藏信息。这种规避技术基于在具有相同名称的参数的多个实例之间拆分攻击向量。某些环境通过从请求中连接的参数名称的所有实例中获取的值来处理此类请求。 1、例如:HttpPar.php的源码如下: <?php
http参数污染.PDF
03-13
http参数污染.PDF =================================
HPP全局污染实现的sql注入的漏洞
最新发布
qq_64302290的博客
08-11 1119
1:什么是HPP的全局污染HPP全局污染就是利用了php接收同样的参数是,对参数的处理来实现的一种漏洞。本次漏洞的实现就是利用该特点来实现的。我们利用两个点来实现的:(1):当传入两个参数的时候php会解析第二个参数(2):并且,我们还利用了web在解析 (.) 时会被解析为下划线(_),比如当我们传递一个i.d进入php时会被解析为i_d。
Web应用里的HTTP参数污染HPP漏洞
09-08 2万+
HPPHTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。下面对这个漏洞的原理做一下详细解释。   首先讲下HTTP参数处理
学习笔记 HTTP参数污染注入
weixin_33845477的博客
12-21 425
HTTP参数污染注入源于网站对于提交的相同的参数的不同处理方式导致。 例如: www.XX.com/a?key=ab&key=3 如果服务端返回输入key的值,可能会有 一: ab 二:3 三:ad3 这三种不同的方式。 具体服务端处理方式如下: Web服务器 参数获取函数 获取到的参数 PHP/Apache ...
OWASP_top_10漏洞的总结笔记
Mi1k7ea
04-11 2万+
这里简单地写一些关于OWASP top 10 漏洞的一些利用技巧以及检测方法、防御方法等的笔记(很多是参考了《Web漏洞讲解》),有新的理解和学会好的方法之后会更新~ 同时也希望各位大牛给给建议~ SQL Injection&amp;Blind SQL Injection(SQL注入与SQL盲注漏洞): 一、绕过WAF的方法: 1. 大小写绕过 2. 简单编码绕过 3. 注释绕过: ...
漏洞知识大纲
06-14
5. **HTTP 参数污染 (HPP)**:通过重复或混合使用 HTTP 参数来混淆 WAF 的检测机制。 6. **使用逻辑运算符 or/and 绕过**:通过使用逻辑运算符来构建复杂条件,使得 WAF 难以识别恶意 SQL 语句的真实意图。 7. **...
HTTP参数污染漏洞
大河之犬的博客
06-07 591
HTTP参数污染攻击是指通过在HTTP请求中插入多个同名参数,混淆服务器对参数的处理逻辑,进而实现攻击目的。这种攻击可以在URL查询字符串、POST数据和HTTP头部中进行。例如,以下是一个漏洞的例子:交易可能会错误地计入accountC而不是accountA,展示了HPP操纵交易或其他功能(如密码重置、双因素认证设置或API密钥请求)的潜力。
Web Hacking 101 中文版 六、HTTP 参数污染
热门推荐
龙哥盟
03-18 3万+
六、HTTP 参数污染 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述HTTP 参数污染,或者 HPP,在网站接受用户输入,将其用于生成发往其它系统的 HTTP 请求,并且不校验用户输出的时候发生。它以两种方式产生,通过服务器(后端)或者通过客户端。在 StackExchange 上,SilverlightFox 提供了一个 HPP
HTTP参数污染
Rnan_prince的博客
07-08 4345
1、漏洞描述 HTTP参数污染漏洞HTTP Parameter Pollution)简称HPP,由于HTTP协议允许同名参数的存在,同时,后台处理机制对同名参数的处理方式不当,造成“参数污染”。攻击者可以利用此漏洞对网站业务造成攻击,甚至结合其他漏洞,获取服务器数据或获取服务器最高权限。 2、 常见应用场景 GET /foo?par=first&par=last HTTP/1.1 User-Agent: Mozilla/5.0 Host: Host Accept: */* HPP发生在
Bypass WAF之HTTP参数污染(HPP)漏洞挖掘
weixin_50464560的博客
09-08 2213
文章目录 HPP漏洞漏洞原理服务列表HPP影响 WAF绕过SQL绕过XSS绕过文件上传 逻辑漏洞篡改收账账户恶意链接跳转越权取消订阅越权获取关注越权编辑数据 修复方案 HPP漏洞 HPPHTTP Parameter Pollution 的缩写,意思即“ HTTP 参数污染 ”。这个漏洞由 S.di Paola 与 L. Caret Toni 在 2009 年的 OWASP 上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中..
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值