hi.baidu.com/80sec

    說到Http Parameter Pollution這個問題就會讓我極度惱火,因為如此簡單的問題會被一部分人想得無比復(fù)雜，甚至都會去忽略URL傳參這種無比基礎(chǔ)的問題，無奈給出下面的幾個例子:

    1. 正常的搜索，傳一個參數(shù)Q，搜索關(guān)鍵詞xss

    http://www.google.cn/search?q=xss

    2..同時傳入兩個參數(shù)Q，內(nèi)容合并了

    http://www.google.cn/search?q=xss&q=xss

    3.將兩個參數(shù)Q之間的&編碼后，將搜索關(guān)鍵字xss&q=xss

    http://www.google.cn/search?q=xss%26q=xss

    4.將&q=xss全部編碼后，將搜索關(guān)鍵字xss&q=xss

    http://www.google.cn/search?q=xss%26q%3Dxss

    先說說3,4吧，這個應(yīng)該是常識了吧，&被編碼后的部分內(nèi)容，在沒有查詢符出現(xiàn)時將成為查詢參數(shù)內(nèi)容，

科普Http Parameter Pollution

電腦資料

    至于2，直接就說明了GOOGLE是存在Http Parameter Pollution風(fēng)險的！

    Http Parameter Pollution到底說的是什么，我就不多啰嗦了，大家去看OWASP的文檔吧。安全就是基礎(chǔ)，雖然WEB安全比較簡單，但同樣安全問題也是嚴(yán)肅的，我們需要認(rèn)真對待。