第3章　HTTP參數污染

HTTP參數污染（HPP）指操縱網站處理它接收到的HTTP請求參數的過程。漏洞發生的原因是：攻擊者在請求中注入了額外的參數，同時目標網站信任了這些參數并且導致了非預期的結果。HPP漏洞可以在服務器端或客戶端觸發。在客戶端通常指的是用你的瀏覽器可以看到測試效果。大多數情況下，HPP漏洞是否存在，取決于服務器端代碼是如何處理攻擊者通過控制的參數傳遞給服務器端的變量的。因此，尋找此類型的漏洞可能要比尋找其他類型的漏洞需要更多的試驗測試。

本章將從探索服務器端HPP和客戶端HPP的區別開始。在那之后我將使用三個流行社交媒體的例子來說明如何使用HPP對目標網站進行參數注入。與此同時，你會學習到服務器端和客戶端HPP的區別，如何測試此類型漏洞，以及開發者在處理這類問題時經常犯錯誤的地方。如你所見，找到HPP漏洞需要進行試驗并堅持下去，但這種努力是值得的。