Übergeben Array als GET-Parameter ein Sicherheitsproblem?

Question

I College von mir verweigert gerade das Überschreiten von sich wiederholenden Werten als ein Parameter erhalten, weil es ein Sicherheitsproblem war. Ich google den Begriff, den er "Parameter Verschmutzung" erwähnt, aber das ist das erste Mal, dass ich davon höre. Ist es wirklich eine Sache, um die wir uns kümmern sollten? Ich arbeite an einem ASP.NET MVC-Projekt, aber es spielt keine Rolle - diese Frage betrifft alle Web-Frameworks. Also übergibt ein Array als get-Parameter wie ?key[]=v1&key[]=v2 falsch und wenn "ja" - wie.

Answer 1

Sie können dieses https://www.owasp.org/index.php/Testing_for_HTTP_Parameter_pollution_(OTG-INPVAL-004) betrachten, es erklärt das Sicherheitsproblem über das Übergeben von Arrays durch eine Anforderung.

An sich ist dies nicht unbedingt ein Anzeichen für eine Schwachstelle. Wenn dem Entwickler das Problem jedoch nicht bekannt ist, kann das Vorhandensein von doppelten Parametern zu einem anomalen Verhalten in der -Anwendung führen, die potenziell von einem Angreifer ausgenutzt werden kann. Wie oft in der Sicherheit, sind unerwartete Verhaltensweisen eine übliche Quelle von Schwächen , die in diesem Fall zu HTTP-Parameter-Pollution-Attacken führen könnten. Um besser diese Klasse von Schwachstellen und das Ergebnis der HPP Angriffe einzuführen, ist es interessant, einige reale Beispiele zu analysieren, die in der Vergangenheit entdeckt wurden.

Auf den Punkt gebracht, ein Array in einer GET-Anforderung macht dem Benutzer die Anforderung vorbei und er es leicht ändern kann, aber ein erfahrener Benutzer können auch die Parameter eines Post-Anforderung ändern. Also sind beide mit http nicht sicher. Ich empfehle dringend, https zu verwenden, wenn Sie es nicht verwenden.