【Try to Hack】HTTP参数污染
1、设备层面,让WAF或其他网关设备(比如IPS)在检查URL时,对同一个参数被多次赋值的情况进行特殊处理。这样问题就出现了,如某个WAF防火墙模板定义数据中不允许出现select关键字,WAF取值验证时可能会选择第一项参数值,而脚本取值与WAF则不同,这样就有可能绕过WAF的数据验证。2、代码层面,编写WEB程序时,要通过合理的$_GET方法获取URL中的参数值,而尝试获取Web服务器返回给程序的其他值时要慎重处理,结合其他漏洞的产生进行组合排查。,不同脚本的语言和环境,其par1取值是不同的
