HTTP パラメーター汚染

medium Web App Scanning プラグイン ID 113230

Language:

概要

HTTP パラメーター汚染

説明

HTTP パラメーター汚染 (HTTP) は、同じ名前の複数のパラメーターを HTTP リクエストに含める可能性や、新しいエンコードされたパラメーターを含める可能性を悪用します。Web サーバーによって、そのパラメーターは異なる方法で解析されます (つまり、パラメーターの最初・最後の発生のみを解析するか、すべての発生をフィールドまたは配列に連結します)。これにより、例としてアプリケーションのクライアント側とサーバー側の両方で予期しない動作が発生し、最初のサーバーが騙されたり、パラメーターが別の方法で解析される 2 番目のサーバーに渡されたりする可能性があります。

これらの影響を悪用することで、攻撃者は入力検証をバイパスしたり、アプリケーションエラーをトリガーしたり、内部変数の値を変更したりする可能性があります。HTTP パラメーター汚染 (略して HPP) がすべての Web テクノロジーの構成要素に影響を与えるため、サーバー側とクライアント側の両方の攻撃が存在します。

ソリューション

緩和策は主にアプリケーションの目的と設計に依存しますが、一般的には多層防御の原則を適用し、コントロールを実施することが推奨されます。
アプリケーションでは、ユーザー入力に依存せず、URL エンコードしてから入力に含める必要があります。厳格な正規表現を使用できます。
HTTP パラメーター汚染の特徴は、バックエンドが複数の発生を処理する方法を考慮する必要があることです。これは、ポイント A でのフィルタリングが、別の方法で入力を処理するポイント B で機能しない可能性があるためです。