据harry的小道消息说，他几个月前就看到这篇paper了。#_#

黑哥前几天拿到了，给我们看了下，确实挺有意思，也可以算作是一种新的攻击类型。

因为今天wisec（作者）的演讲已经出来了，所以就可以在blog上写写了。

以下摘自作者blog：http://www.wisec.it/sectou.php?id=4a129d3c810ec

On May 14th @ 2009OWASP Appsec Poland, me & Luca Carettoni presented a new attack category called Http Parameter Pollution (HPP).

HPP attacks can be defined as the feasibility to override or add HTTP GET/POST parameters by injecting query string delimiters.
It affects a building block of all web technologies thus server-side and client-side attacks exist.
Exploiting HPP vulnerabilities, it may be possible to:

• Override existing hardcoded HTTP parameters.
• Modify the application behaviors.
• Access and, potentially exploit, uncontrollable variables.
• Bypass input validation checkpoints and WAFs rules.

Just to whet your appetite, I can anticipate that by researching for real world HPP vulnerabilities, we found issues on some Google Search Appliance front-end scripts, Ask.com, Yahoo! Mail Classic and several other products.

You can download the slides of the talk here (pdf) or browse it on Slideshare .

简单来说，就是提交两个相同的参数，不同的服务器会有不同的处理。

比如提交 /?a=fvck&a=svck

那么在有的webserver和语言中，会只取第一个。

在别的环境的中，比如.net环境中，会变成 a=fvck,svck

这在绕过一些逻辑判断的时候，会非常有用。

作者把成果可以整理为一张表：

我个人倒是觉得，比较好的做法是返回一个数组

比如GAE（Google App Engine）里有个方法就是 get()，会返回相同参数名的第一个参数值，还有方法是get_all()，会返回所有的相同参数的值，为一个list

虽然paper中有提到利用此绕过IE 8 的XSS filter，不过后来证实是YY的。