この広告は、90日以上更新していないブログに表示しています。

2020-10-22

HTTP Parameter pollution(HPP)

概要

HTTPリクエストに意図しないパラメータを混ぜることで、予期せぬ動作を引き起こす脆弱性

例

https://aaaa.bbb.com?from=12345&to=asdfg&value=200000

上記の例では、サイトhttps://aaaa.bbb.comに渡された3つのパラメータを用いている
それぞれの値が重複して付与されたとき（例えばfromが2つ現れたとき）、サーバ側が混入させたほうのfromを使用してしまう場合がある

対策例

ー

脆弱性が入るパターン

ー

関連レポート

以上