HTTP参数污染(HPP)漏洞

最新推荐文章于 2024-06-07 16:26:41 发布
最新推荐文章于 2024-06-07 16:26:41 发布
阅读量9.5k 收藏 7
点赞数 3
分类专栏: Web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/93765890
版权

HPP(HTTP参数污染)

HPP是HTTP Parameter Pollution的缩写,意为HTTP参数污染。
原理:浏览器在跟服务器进行交互的过程中,浏览器往往会在GET/POST请求里面带上参数,这些参数会以 名称-值 对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。比如下面这个链接:http://www.baidu.com?name=aa&name=bb ,针对同样名称的参数出现多次的情况,不同的服务器的处理方式会不一样。有的服务器是取第一个参数,也就是name=aa。有的服务器是取第二个参数,也就是name=bb。有的服务器两个参数都取,也就是name=aa,bb 。这种特性在绕过一些服务器端的逻辑判断时,非常有用。

HPP漏洞,与Web服务器环境、服务端使用的脚本有关。如下是不同Web服务器对于出现多个参数时的选择:

通过HTTP参数污染(HPP)接管账户

当网站开发者不熟悉Web服务器对于多参数时如何选择,将给攻击者可乘之机。HPP能针对客户端和服务端进行攻击。

HPP参数污染还可以用于绕过某些防火墙对于 SQL注入的检测,例如当Web服务器对多参数都同时选择时,

了解本专栏 订阅专栏 解锁全文 超级会员免费看
谢公子
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
订阅专栏
http参数污染.PDF
03-13
http参数污染.PDF =================================
Web应用里的HTTP参数污染HPP漏洞
09-08 2万+
HPPHTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中存在这样的漏洞,可以被攻击者利用来进行客户端或者服务器端的攻击。下面对这个漏洞的原理做一下详细解释。   首先讲下HTTP参数处理
HTTP参数污染漏洞
最新发布
大河之犬的博客
06-07 498
HTTP参数污染攻击是指通过在HTTP请求中插入多个同名参数,混淆服务器对参数的处理逻辑,进而实现攻击目的。这种攻击可以在URL查询字符串、POST数据和HTTP头部中进行。例如,以下是一个漏洞的例子:交易可能会错误地计入accountC而不是accountA,展示了HPP操纵交易或其他功能(如密码重置、双因素认证设置或API密钥请求)的潜力。
学习笔记 HTTP参数污染注入
weixin_33845477的博客
12-21 414
HTTP参数污染注入源于网站对于提交的相同的参数的不同处理方式导致。 例如: www.XX.com/a?key=ab&key=3 如果服务端返回输入key的值,可能会有 一: ab 二:3 三:ad3 这三种不同的方式。 具体服务端处理方式如下: Web服务器 参数获取函数 获取到的参数 PHP/Apache ...
aa.rar_cxcore.hpp
09-20
"aa.rar_cxcore.hpp"的标题暗示了它包含了一个与图像处理相关的C++类库,这个库的核心是`cxcore.hpp`头文件。`cxcore.hpp`是OpenCV(Open Source Computer Vision Library)的一部分,OpenCV是一个广泛使用的开源库...
vclskin.rar_SkinCaption.hpp
09-19
标题中的"vclskin.rar_SkinCaption.hpp"指的是一个Delphi开发中使用的皮肤库,具体是VCLSkin库的一部分,这个库主要用于改变Delphi应用程序的标题栏外观,使其支持自定义皮肤。SkinCaption.hpp文件是这个库的核心...
zeromq zhelpers.hpp文件
06-07
zeromq c++ zhelpers.hpp文件
HPP4000服务器资料荟萃
07-23
教程名称:HP P4000 服务器资料荟萃课程目录:【】HP P4000 SAN Solution 软件说明及用户的指南【】HP P4000部署指南【】HP StorageWorks P4000 G2 Unified NAS Gateway 入门及用户指南【】HPP4000SAN解决方案用户...
Web Hacking 101 中文版 六、HTTP 参数污染
热门推荐
龙哥盟
03-18 3万+
六、HTTP 参数污染 作者:Peter Yaworski 译者:飞龙 协议:CC BY-NC-SA 4.0 描述HTTP 参数污染,或者 HPP,在网站接受用户输入,将其用于生成发往其它系统的 HTTP 请求,并且不校验用户输出的时候发生。它以两种方式产生,通过服务器(后端)或者通过客户端。在 StackExchange 上,SilverlightFox 提供了一个 HPP
HTTP参数污染
Rnan_prince的博客
07-08 4160
1、漏洞描述 HTTP参数污染漏洞HTTP Parameter Pollution)简称HPP,由于HTTP协议允许同名参数的存在,同时,后台处理机制对同名参数的处理方式不当,造成“参数污染”。攻击者可以利用此漏洞对网站业务造成攻击,甚至结合其他漏洞,获取服务器数据或获取服务器最高权限。 2、 常见应用场景 GET /foo?par=first&par=last HTTP/1.1 User-Agent: Mozilla/5.0 Host: Host Accept: */* HPP发生在
参数污染漏洞HPP)挖掘技巧及实战案例全汇总
Restart的博客
09-06 2153
概念: HTTP参数污染,也叫HPPHTTP Parameter Pollution)。简单地讲就是给一个参数赋上两个或两个以上的值,由于现行的HTTP标准没有提及在遇到多个输入值给相同的参数赋值时应该怎样处理,而且不同的网站后端做出的处理方式是不同的,从而造成解析错误。 漏洞原理: 通过简单的案例可以说明这种处理的差异: 在不同的搜索引擎中进行搜索,在地址栏输入URL:?p=usa&p=china,这里重复相同搜索参数,观察搜索结果的不同: 1)百度接受第一个参数(usa)而放弃第二个参数(ch
Bypass WAF之HTTP参数污染(HPP)漏洞挖掘
weixin_50464560的博客
09-08 1908
文章目录 HPP漏洞漏洞原理服务列表HPP影响 WAF绕过SQL绕过XSS绕过文件上传 逻辑漏洞篡改收账账户恶意链接跳转越权取消订阅越权获取关注越权编辑数据 修复方案 HPP漏洞 HPPHTTP Parameter Pollution 的缩写,意思即“ HTTP 参数污染 ”。这个漏洞由 S.di Paola 与 L. Caret Toni 在 2009 年的 OWASP 上首次公布。这也是一种注入型的漏洞,攻击者通过在HTTP请求中插入特定的参数来发起攻击。如果Web应用中..
基于web服务器的http参数污染攻击(HPP)
Alexhirchi的博客
04-03 1126
HPP漏洞 全称HTTP Parameter Pollution简称HPP,所以有的人也称之为“HPP参数污染” 原理 ​ 浏览器与服务器进行交互时,浏览器提交GET/POST请求参数,这些参数会以名称-值对的形势出现,通常在一个请求中,同样名称的参数只会出现一次。但是在HTTP协议中是允许同样名称的参数出现多次的。例: http://www.google.com?search=hacker&a...
HTTP 参数污染 (HPP) 和 HTTP 参数碎片 (HPF)
m0_61506558的博客
11-13 1133
在这篇文章中,将介绍绕过WAF技术,它们是 HTTP 参数污染 (HPP) 和 HTTP 参数碎片 (HPF)。虽然 HPP 是一种众所周知的技术,但它在 WAF 中的检测能力也很强。虽然检测 HPF 很困难,但它的先决条件更难被发现,这使得这种攻击成为一种罕见的发现。在这篇文章中,将首先介绍如何使用 HPP 绕过 WAF,然后我们将深入挖掘 HPF 技术的利用。(一)HTTP 参数污染首先让我们介绍一下 HTTP 参数污染 (HPP) 的基础知识。
nlohmann/json.hpp 如何取参数更安全
06-13
为了更安全地取参数,你可以在使用 nlohmann/json.hpp 库时,使用一些额外的方法来确保你的代码更加健壮和安全。以下是一些建议: 1. 在获取 JSON 对象中某个键的值之前,先判断该键是否存在。可以使用 `count()` ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值