HTTP Parameter Override (HTTP Parameter Pollution)

HTTP Parameter Override (HTTP Parameter Pollution)

Copyright © Shutterstock / Feng Yu

Was bedeutet HTTP Parameter Override (HTTP Parameter Pollution)?

Wenn ein Programm eine Benutzereingabe in URLs auf unsichere Weise einbettet, treten SicherheitslĂŒcken in Bezug auf die HTTP-Parameterverunreinigung (HPP) auf. Ein Angreifer kann diese SicherheitsanfĂ€lligkeit verwenden, um eine URL zu erstellen, die, wenn sie von einem anderen Anwendungsbenutzer besucht wird, URLs in der Antwort Ă€ndert, indem zusĂ€tzliche Abfragezeichenfolgeparameter eingefĂŒgt und manchmal vorhandene ĂŒberschrieben werden. Dies kann zu Links und Formularen fĂŒhren, die unerwartete Nebenwirkungen haben. Es ist beispielsweise möglich, ein Einladungsformular mithilfe von HPP zu Ă€ndern, sodass die Einladung an einen unerwarteten EmpfĂ€nger ĂŒbermittelt wird.

Die Sicherheitsauswirkungen dieses Problems hÀngen weitgehend von der Art der AnwendungsfunktionalitÀt ab. Auch wenn es keine direkten Auswirkungen hat, kann es ein Angreifer in Verbindung mit anderen Schwachstellen einsetzen, um den Gesamtschweregrad zu erhöhen.

Tipp

ÜberprĂŒfen Sie die Sicherheit Ihrer Website mit unserem kostenlosen Security Crawler oder mit der OSG Performance Suite Free Version.

Lösung

Stellen Sie sicher, dass die Benutzereingabe URL-codiert ist, bevor sie in eine URL eingebettet wird.

Stellen Sie beim Datenaustausch zwischen Komponenten sicher, dass beide Komponenten dieselbe Zeichencodierung verwenden und an jeder Schnittstelle die richtige Kodierung angewendet wird. Legen Sie die von Ihnen verwendete Kodierung explizit fest, wenn das Protokoll dies zulÀsst.

Allgemeiner Schwachstellen-Datenbanklink

Wenn Sie noch Fragen bezĂŒglich des Themas haben, dann können Sie sich gerne weiter ĂŒber die zwei Seiten der CWE Organisation und oder auf der Seite der Portswigger darĂŒber weiter informieren.

1. Seite der CWE Organisation 2. Seite der CWE Organisation Zu Portswigger

 


Sie haben noch Fragen?

Kontaktieren Sie uns

Kostenloser SEO-Check der OSG


Weitere Inhalte