Web漏洞搜索
上QQ阅读APP看书,第一时间看更新

3.6 总结

HPP带来的风险取决于站点后端执行的操作以及调用污染参数的位置。

相比其他一些漏洞,发现HPP漏洞后,更需要进行彻底的测试,因为我们通常无法接触到运行代码处理HTTP请求的后台服务器端。这意味着我们只能推断站点如何处理传递给它们的参数。

通过反复试验,你可能会发现HPP漏洞容易产生的场景。通常,社交媒体链接是测试此类漏洞的首选。但是,在测试参数替换(例如类似ID的值)时,请不断挖掘并研究HPP漏洞。