客户端HTTP参数污染(反映)
描述:客户端HTTP参数污染(反映)
当应用程序以不安全的方式将用户输入嵌入URL时,客户端HTTP参数污染(HPP)漏洞会出现。攻击者可以使用此漏洞来构建一个URL,如果另一个应用程序用户访问,则可以通过插入其他查询字符串参数(有时甚至覆盖现有的)来修改响应中的URL。这可能会导致链接和表格具有意外的副作用。例如,可以使用HPP修改邀请表,以便将邀请交付给意外接收者。
该问题的安全影响很大程度上取决于应用功能的性质。即使它没有直接影响,攻击者也可以将其与其他漏洞结合使用,以升级其整体严重性。
修复:客户端HTTP参数污染(反映)
确保用户输入在将其嵌入URL之前对URL进行编码。
参考
脆弱性分类
典型的严重程度
低的
类型索引(HEX)
0x00501400
类型索引(十进制)
5248000