Security 将数组作为GET参数传递是否存在安全问题?
我的大学刚刚否认将重复值作为get参数传递,因为这是一个安全问题。我在谷歌上搜索了他提到的“参数污染”一词,但这是我第一次听到这个词。这真的是我们应该关心的事情吗。我正在从事一个ASP.NETMVC项目,但这并不重要——这个问题会影响所有的web框架。因此,将数组作为get参数传递(如Security 将数组作为GET参数传递是否存在安全问题?,security,web,Security,Web,我的大学刚刚否认将重复值作为get参数传递,因为这是一个安全问题。我在谷歌上搜索了他提到的“参数污染”一词,但这是我第一次听到这个词。这真的是我们应该关心的事情吗。我正在从事一个ASP.NETMVC项目,但这并不重要——这个问题会影响所有的web框架。因此,将数组作为get参数传递(如?key[]=v1&key[]=v2)是否错误?如果“是”-如何传递。您可能想看看这一点,它解释了通过请求传递数组的安全问题 就其本身而言,这并不一定表明存在漏洞。 但是,如果开发人员没有意识到问题,则 重复的参数
?key[]=v1&key[]=v2)是否错误?如果“是”-如何传递。您可能想看看这一点,它解释了通过请求传递数组的安全问题
就其本身而言,这并不一定表明存在漏洞。
但是,如果开发人员没有意识到问题,则
重复的参数可能会在系统中产生异常行为
可能被攻击者利用的应用程序。经常
在安全性方面,意外行为通常是弱点的来源
在这种情况下,这可能导致HTTP参数污染攻击。到
更好地介绍此类漏洞和HPP的结果
分析一些现实生活中的例子是很有趣的
在过去已经被发现了
简而言之,在get请求中传递数组会将请求公开给用户,用户可以轻松地修改它,但是高级用户也可以修改post请求的参数。因此,这两种协议在http中都不安全。如果您不使用https,我强烈建议您使用它。您可能想看看这个,它解释了通过请求传递数组的安全问题
就其本身而言,这并不一定表明存在漏洞。
但是,如果开发人员没有意识到问题,则
重复的参数可能会在系统中产生异常行为
可能被攻击者利用的应用程序。经常
在安全性方面,意外行为通常是弱点的来源
在这种情况下,这可能导致HTTP参数污染攻击。到
更好地介绍此类漏洞和HPP的结果
分析一些现实生活中的例子是很有趣的
在过去已经被发现了
简而言之,在get请求中传递数组会将请求公开给用户,用户可以轻松地修改它,但是高级用户也可以修改post请求的参数。因此,这两种协议在http中都不安全。如果您不使用https,我强烈建议您使用https