Znečištění parametru HTTP - HTTP parameter pollution - Wikipedia

Znečištění parametrů HTTP nebo HPP ve zkratce je zranitelnost, ke které dochází v důsledku předávání více parametrů se stejným názvem. Tady není žádný RFC standard, co by mělo být provedeno při předání více parametrů. Tato chyba zabezpečení byla poprvé objevena v roce 2009.^[1] HPP lze použít k překlenutí znečištění napříč kanály CSRF ochrana a WAF vstupní validační kontroly.^[2]

Chování

Při předávání více parametrů se stejným názvem se chová backend

Chování
Technologie	Výsledek analýzy	Příklad
ASP.NET/IIS	Všechny výskyty zřetězené čárkou	param = val1, val2
ASP / IIS	Všechny výskyty zřetězené čárkou	param = val1, val2
PHP / Apache	Pouze poslední výskyt	param = val2
PHP / Zeus	Pouze poslední výskyt	param = val2
JSP, Servlet / Apache Tomcat	Pouze první výskyt	param = val1
JSP, servlet / aplikační server Oracle	Pouze první výskyt	param = val1
JSP, Servlet / Jetty	Pouze první výskyt	param = val1
IBM Lotus Domino	Pouze poslední výskyt	param = val2
IBM HTTP Server	Pouze první výskyt	param = val1
mod_perl, libapreq2 / Apache	Pouze první výskyt	param = val1
Perl CGI / Apache	Pouze první výskyt	param = val1
mod_wsgi (Python) / Apache	Pouze první výskyt	param = val1
Python / Zope	Všechny výskyty v seznamu (pole)	param = ['val1', 'val2']

^[1]

Typy

Na straně klienta

První objednávka / odráží HPP^[3]
Druhá objednávka / uložené HPP^[3]
Třetí objednávka / DOM HPP^[3]

Na straně serveru

Standardní HPP^[3]
HPP druhé objednávky^[3]

Prevence

Správné ověření vstupu a povědomí o webové technologii na HPP je ochrana před znečištěním parametrů HTTP.^[4]

Viz také

Reference

^ ^A ^b „WSTG - nejnovější: Testování znečištění parametrů HTTP“.
^ „Chyby zabezpečení týkající se znečištění parametrů HTTP ve webových aplikacích“ (PDF). 2011.
^ ^A ^b ^C ^d ^E Luca Carettoni a Stefano Di Paola. „Znečištění parametrů HTTP“ (PDF).CS1 maint: používá parametr autoři (odkaz)
^ „Jak detekovat útoky na znečištění parametrů HTTP“.

Tento Celosvětová Síť –Vztahující se článek je pahýl. Wikipedii můžete pomoci pomocí rozšiřovat to.

[owasp_hpp-1] A ^b „WSTG - nejnovější: Testování znečištění parametrů HTTP“.

[2] „Chyby zabezpečení týkající se znečištění parametrů HTTP ve webových aplikacích“ (PDF). 2011.

[owasp_hpp_paper-3] A ^b ^C ^d ^E Luca Carettoni a Stefano Di Paola. „Znečištění parametrů HTTP“ (PDF).CS1 maint: používá parametr autoři (odkaz)

[4] „Jak detekovat útoky na znečištění parametrů HTTP“.

[1]

[2]

[3]

[4]