✅HTTP Parameter Pollution
HTTP Parameter Pollution Nedir?
HTTP Parameter Pollution (HPP), web uygulamalarında HTTP isteklerinde aynı parametre adıyla birden fazla değer gönderilmesiyle ortaya çıkan bir güvenlik zafiyetidir. Bu tür saldırılar, web uygulamalarının bu parametreleri nasıl işlediğine bağlı olarak, beklenmedik davranışlara yol açabilir ve güvenlik açıklarına neden olabilir. HPP, kullanıcıların URL, POST veri alanları, çerezler veya HTTP başlıkları gibi alanlarda aynı parametreyi tekrar tekrar eklemelerine olanak tanır. Bu tür bir saldırı, kullanıcı yetkilendirme, erişim kontrolü ve veri doğrulama gibi kritik güvenlik mekanizmalarının atlatılmasına yol açabilir.
![](https://yigitsengezer.gitbook.io/~gitbook/image?url=https%3A%2F%2F3737168764-files.gitbook.io%2F%7E%2Ffiles%2Fv0%2Fb%2Fgitbook-x-prod.appspot.com%2Fo%2Fspaces%252F3ONffZJjq1KZ6NIRmS0c%252Fuploads%252FjZBOni1KyRLpwpMkffIZ%252Fimage.png%3Falt%3Dmedia%26token%3D2490d0f9-53ca-4db5-8322-de4c2a004d89&width=768&dpr=4&quality=100&sign=afd7cb2a&sv=2)
Nasıl Test Edilir?
Aynı Parametreyi Gönder
Aynı parametreyi iki defa gönderin. Son girdiyiyi mi ilk girdiyi mi yoksa ikisinin birleşimini mi işliyor bunu analiz edin.
Bu methodu hem post hem get isteklerinde yapabilirsiniz.
Farklı Metodlar ile Gönder
Bir parametreyi post isteğinde hem url parametresi hem body kısmında gönderin.
Client-Side HPP
Parametreleri %26HPP_TEST ifadesi ekleyin sonrasında kullanıcıya döndürülen parametreye baktın. Eğer %26 & olarak işleniyorsa zafiyet vardır.
Kaynaklar
Last updated
Was this helpful?