第3章　HTTP参数污染

HTTP参数污染（HPP）指操纵网站处理它接收到的HTTP请求参数的过程。漏洞发生的原因是：攻击者在请求中注入了额外的参数，同时目标网站信任了这些参数并且导致了非预期的结果。HPP漏洞可以在服务器端或客户端触发。在客户端通常指的是用你的浏览器可以看到测试效果。大多数情况下，HPP漏洞是否存在，取决于服务器端代码是如何处理攻击者通过控制的参数传递给服务器端的变量的。因此，寻找此类型的漏洞可能要比寻找其他类型的漏洞需要更多的试验测试。

本章将从探索服务器端HPP和客户端HPP的区别开始。在那之后我将使用三个流行社交媒体的例子来说明如何使用HPP对目标网站进行参数注入。与此同时，你会学习到服务器端和客户端HPP的区别，如何测试此类型漏洞，以及开发者在处理这类问题时经常犯错误的地方。如你所见，找到HPP漏洞需要进行试验并坚持下去，但这种努力是值得的。