I College von mir verweigert gerade das Überschreiten von sich wiederholenden Werten als ein Parameter erhalten, weil es ein Sicherheitsproblem war. Ich google den Begriff, den er "Parameter Verschmutzung" erwähnt, aber das ist das erste Mal, dass ich davon höre. Ist es wirklich eine Sache, um die wir uns kümmern sollten? Ich arbeite an einem ASP.NET MVC-Projekt, aber es spielt keine Rolle - diese Frage betrifft alle Web-Frameworks. Also übergibt ein Array als get-Parameter wie ?key[]=v1&key[]=v2
falsch und wenn "ja" - wie.Übergeben Array als GET-Parameter ein Sicherheitsproblem?
Antwort
Sie können dieses https://www.owasp.org/index.php/Testing_for_HTTP_Parameter_pollution_(OTG-INPVAL-004) betrachten, es erklärt das Sicherheitsproblem über das Übergeben von Arrays durch eine Anforderung.
An sich ist dies nicht unbedingt ein Anzeichen für eine Schwachstelle. Wenn dem Entwickler das Problem jedoch nicht bekannt ist, kann das Vorhandensein von doppelten Parametern zu einem anomalen Verhalten in der -Anwendung führen, die potenziell von einem Angreifer ausgenutzt werden kann. Wie oft in der Sicherheit, sind unerwartete Verhaltensweisen eine übliche Quelle von Schwächen , die in diesem Fall zu HTTP-Parameter-Pollution-Attacken führen könnten. Um besser diese Klasse von Schwachstellen und das Ergebnis der HPP Angriffe einzuführen, ist es interessant, einige reale Beispiele zu analysieren, die in der Vergangenheit entdeckt wurden.
Auf den Punkt gebracht, ein Array in einer GET-Anforderung macht dem Benutzer die Anforderung vorbei und er es leicht ändern kann, aber ein erfahrener Benutzer können auch die Parameter eines Post-Anforderung ändern. Also sind beide mit http nicht sicher. Ich empfehle dringend, https zu verwenden, wenn Sie es nicht verwenden.
- 1. Ein Array als Argument übergeben
- 2. Ein Array als Eigenschaft übergeben
- 3. Übergeben Sie ein Array als Vorlage
- 4. Übergeben Sie ein Array als Attribut-Wert-
- 5. Servlet getParameter
- 6. Javascript Sicherheitsproblem
- 7. PowerShell-Skriptargumente als Array übergeben
- 8. Zookeeper Sicherheitsproblem
- 9. JSP getParameter Problem
- 10. Öffentliche SOAP WSDL-Datei ein Sicherheitsproblem?
- 11. Choregraphe Sicherheitsproblem
- 12. Gibt es in Lua trotzdem ein Sicherheitsproblem?
- 13. Können Sie ein Array fester Größe als GLSL-Funktionsparameter übergeben?
- 14. übergeben Job-Array-Index als ein Argument in drmaa-Python
- 15. ng-Optionen müssen als Objektwert an ein Array übergeben werden
- 16. Verwenden Array.filter() -Methode für ein Array als Funktionsargument übergeben
- 17. Swift - ein Dictionary + Array als Parameter an eine Funktion übergeben
- 18. Ein Array an pthread_create übergeben
- 19. Ein Array mit COM übergeben?
- 20. Warum Array als "int * & name" übergeben?
- 21. Ein gets.chomp als Argument übergeben
- 22. in Array aufgeteilt und als Argumente übergeben
- 23. Android Cipher.getInstance() Sicherheitsproblem
- 24. Scandir() mit GetParameter Symfony 2
- 25. Sicherheitsproblem, php/mysql
- 26. Sicherheitsproblem in Wordpress Theme
- 27. PayPal PHP/HTML Sicherheitsproblem
- 28. Wie übergeben Sie Array-Werte als Prozedurparameter?
- 29. Übergeben eines Array als Argumente in PHP
- 30. Grails Sicherheitsproblem und Suchmaschinenoptimierung
Übrigens, wenn meine Antwort Ihnen geholfen hat, können Sie es als akzeptierte Antwort markieren. ;) –