《也说说Http Parameter Pollution》的评论

作者：QZ

June 4, 2009, 9:45 am

分析得还可以，如果对这类YY概念一知半解，然后无视PHP的超级全局变量的这种基础特性，我想换了谁都会很无语。 不过Http Parameter Pollution逃避IDS之类确实是不错的思路。

View Article

作者：woyigui

June 4, 2009, 6:50 pm

呵呵，逃避IDS这个问题，也是一种方法，也就是逃避关键字法了，比如：asp?id=1 an%d 1=(selec%t * form admin) 一样可以突破了。

View Article

作者：xy7

June 4, 2009, 7:54 pm

呃……我还是觉得这个文章分析的不是HPP。HPP的本质都不是放在程序层面的，这篇文章里的PHP例子和作者的例子展现的都是在HPP之后的行为(CSRF，注入)，HPP要是有搞头就必须结合程序的漏洞，所以HPP和程序特性是要分开看的，最后说一句大实话：现在的IDS虽然不是万能的，但是也绝对不像楼主说的那么简单，还关键字呢……呵呵 btw $q...

View Article

作者：xy7

June 4, 2009, 7:57 pm

结合存在风险不结合纯YY 哈哈

View Article

作者：QZ

June 4, 2009, 8:06 pm

恩 XY7这个说法我不反对，确实是结合其他如XSS、CSRF和SQL注射之类才会出现安全问题。 但是本质还是没有太多的区别，仅仅是绕过一些逻辑上面的防护手段。

View Article

作者：woyigui

June 4, 2009, 8:53 pm

IDS确实不能就关键字这么简单，我只是提一下。。。代码只是例子。您说的那个应用分层思维很好。

View Article

作者：gogo

April 17, 2010, 6:28 am

浏览器参数--》根据 PHP、asp等各种程序去选择参数值 -?有点不对吧？我工具看过提交，都提交了！！估计要么是服务器选择，要么是语言特性选项！！<img src="wp-content/bo/emot/fear.gif" border="0" alt="fear" /><img src="wp-content/bo/emot/love.gif" border="0"...

View Article