تو سایت irist مطرح شد بحث جالبی هست
HTTP Parameter Pollution یا به انحصار HPP و یک یک کلاس آسیب پذیری تزریق (injection class) است کاملا "آسیب پذیری " است و خیلی هم میتونه خطرناک باشه .
این روش قدمتش زیاد نیست تو یک سایت انگلیسی زبان خوندم
Stefano diPaola در کنفرانس OWASP در سال 2009 ارائه شد
چند تا مقاله هست که مفیده
کد php:
http://s3.picofile.com/file/7418628274/AppsecEU09_CarettoniDiPaola_v0_8.pdf.html
کد php:
http://s3.picofile.com/file/7418631391/Http_Parameter_Contamination_Ivan_Markovic_NSS.pdf .html
این باگ یک جورایی مثل xss خودمونه
رو بعضی سایت ها جواب میده رو بعضی فقط در حد یک باگ ساده هست
[hr] ود ابزار acunetix هم تا حدی قابلیت تشخیص این آسیب پذیری را دارد اما وقتی منطق در کار باشد بهترین راه کشف این نوع آسیب پذیری استفاده از یک پروکسی میانی است
کد php:
http://www.nirgoldshlager.com/2011/03/blogger-get-administrator-privilege-on.html
کد php:
http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/
کد php:
http://www.acunetix.com/blog/whitepaper-http-parameter-pollution/
کد php:
http://blog.mindedsecurity.com/2009/05/client-side-http-parameter-pollution.html
HTTP Parameter Pollution یا به انحصار HPP و یک یک کلاس آسیب پذیری تزریق (injection class) است کاملا "آسیب پذیری " است و خیلی هم میتونه خطرناک باشه .
این روش قدمتش زیاد نیست تو یک سایت انگلیسی زبان خوندم
Stefano diPaola در کنفرانس OWASP در سال 2009 ارائه شد
چند تا مقاله هست که مفیده
کد php:
http://s3.picofile.com/file/7418628274/AppsecEU09_CarettoniDiPaola_v0_8.pdf.html
کد php:
http://s3.picofile.com/file/7418631391/Http_Parameter_Contamination_Ivan_Markovic_NSS.pdf .html
این باگ یک جورایی مثل xss خودمونه
رو بعضی سایت ها جواب میده رو بعضی فقط در حد یک باگ ساده هست
[hr] ود ابزار acunetix هم تا حدی قابلیت تشخیص این آسیب پذیری را دارد اما وقتی منطق در کار باشد بهترین راه کشف این نوع آسیب پذیری استفاده از یک پروکسی میانی است
کد php:
http://www.nirgoldshlager.com/2011/03/blogger-get-administrator-privilege-on.html
کد php:
http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/
کد php:
http://www.acunetix.com/blog/whitepaper-http-parameter-pollution/
کد php:
http://blog.mindedsecurity.com/2009/05/client-side-http-parameter-pollution.html