POST /admin/check HTTP/1.1  
User-role=user&user-role=admin  

HTTP参数污染（HPP）漏洞与防护 1. 漏洞描述 HTTP参数污染（HTTP Parameter Pollution，HPP）是一种利用Web应用对HTTP参数处理逻辑不一致的漏洞。当同一参数在请求中多次出现时，不同技术层（如客户端、代理服务器、后端框架）可能采用不同的解析规则（如取第一个值、取最后一个值、合并值），攻击者通过构造恶意参数覆盖或篡改业务逻辑，导致权限绕过、数据泄露等风险。 2. 漏洞原理 参数解析差异 ： 例如，URL中传入 ?id=1&id=2 ，PHP可能取最后一个值（ id=2 ），而Java Servlet可能取第一个值（ id=1 ）。 攻击者利用这种差异，在参数中插入恶意值，干扰后端逻辑。 常见场景 ： 身份验证绕过：在登录请求中同时提交 admin=false&admin=true ，若后端取最后一个值，可能绕过权限检查。 数据篡改：在支付请求中污染金额参数（如 amount=10&amount=1000 ），覆盖正常值。 3. 攻击示例 假设一个用户权限验证接口： 若后端代码使用 getParameter("user-role") （某些框架默认取第一个值），则解析为 user ；但若后端使用 getParameterValues("user-role") 的最后一个值，则解析为 admin 。攻击者通过污染参数可能提升权限。 4. 防护方案 输入验证 ： 对同一参数出现多次的情况进行严格校验，拒绝或取首个值。 使用白名单机制，限制参数值的范围（如枚举类型）。 参数规范化 ： 在接入层（如WAF、网关）统一处理重复参数，强制采用单一解析策略（如始终取第一个值）。 安全编码 ： 避免直接使用框架默认的解析方法，显式处理参数（如 request.getParameterValues()[0] ）。 关键业务参数通过JSON Body传递，减少URL参数污染风险。 安全测试 ： 使用工具（如Burp Suite）扫描参数污染漏洞，模拟多参数提交场景。 5. 进阶扩展 HPP与SSRF组合利用 ： 污染URL参数（如 url=http://a.com&url=http://内网IP ）可能触发服务端请求伪造。 框架差异参考 ： | 技术栈 | 解析规则（示例） | |---------------|-------------------------------| | PHP/Apache | 默认取最后一个值（ last wins ） | | Java Servlet | 默认取第一个值（ first wins ） | | Python Flask | 取第一个值 | | Node.js/Express| 返回数组（需开发者手动处理） | 通过理解参数解析差异并实施统一防护策略，可有效规避HPP漏洞风险。