HTTP參數污染的分析與應對

近年來，隨著Web服務的普及，HTTP請求及其參數的使用愈加頻繁，但同時HTTP參數污染問題也日漸凸顯。HTTP參數污染是指由於參數值錯誤所導致的服務端行為異常的問題。攻擊者可能通過修改請求參數來擾亂服務端響應（如SQL注入、跨站腳本攻擊等），以達到獲取數據、篡改數據、威脅系統安全等目的。因此，深入了解HTTP參數污染及其應對措施對於Web服務的安全至關重要。

一、防範HTTP參數污染

1、參數合法性驗證：未經驗證的參數可能被篡改，導致服務端行為異常。因此，在後端應用程序中，對所有可能接收到的參數進行必要的合法性校驗，如字符集、長度等。請看下面的Node.js代碼實例：

var bodyParser = require('body-parser');
var express = require('express');
var app = express();

app.use(bodyParser.urlencoded({
    extended: false,
    verify: function (req, res, buf) {
        req.rawBody = buf.toString();  
    }
}));

app.post('/login', function (req, res) {
    var username = req.body.username;
    var password = req.body.password;
    //參數有效性驗證
    if (typeof(username) !== 'string' || username.length > 20) {
        res.send({'status': 'error', 'msg': '用戶名長度超限'});
    } else if (typeof(password) !== 'string' || password.length > 20) {
        res.send({'status': 'error', 'msg': '密碼長度超限'});
    } else {
        //用戶驗證過程
        ……
    }
});

2、避免參數污染：攻擊者可能通過修改參數類型、參數順序、參數名稱等方法改變應用程序的預期行為，從而實現攻擊。因此，建議在應用程序設計中避免使用參數動態拼接的方式處理客戶端數據，盡量使用安全的函數及方法來處理，如編碼時需要考慮SQL注入、跨站腳本攻擊等問題，或者使用標準的API進行參數處理。

3、參數加密：採用參數加密措施可以有效降低參數被篡改的風險。在請求過程中，將參數進行加密處理，然後在服務端進行解密，從而達到保護參數安全的目的。請看下面的Java代碼實例：

public class HttpEncryptInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        // 獲取請求參數
        Map params = request.getParameterMap();
        // 組合請求參數為字元串
        StringBuilder sb = new StringBuilder();
        for (String key : params.keySet()) {
            sb.append(key).append("=").append(params.get(key)[0]).append("&");
        }
        // 對請求參數進行加密
        String encryptedParams = encrypt(sb.toString());
        // 將加密後的字元串放入請求體中
        request.getInputStream().write(encryptedParams.getBytes(Charset.forName("UTF-8")));
        return true;
    }

    // 對參數進行加密
    private String encrypt(String params) {
        ……
    }
}

二、HTTP參數配置

1、對HTTP參數進行配置：在實際開發中，需要根據項目實際情況，針對性地修改參數配置。例如，在Tomcat中，可以更改Tomcat的鏈接超時時間及心跳超時時間等參數，從而在一定程度上避免HTTP參數污染。請看下面的Tomcat配置示例：

2、使用連接池：連接池的作用是減少網路連接的開銷。使用連接池可以使得一定時間內的網路連接數保持平穩，避免連接超時等問題。請看下面的Java Spring連接池的示例代碼：

@Bean
public DataSource dataSource() {
    final String url = ……;
    final String username = ……;
    final String password = ……;
    final String driverClassName = org.postgresql.Driver.class.getName();

    HikariConfig hikariConfig = new HikariConfig();
    hikariConfig.setDriverClassName(driverClassName);
    hikariConfig.setJdbcUrl(url);
    hikariConfig.setUsername(username);
    hikariConfig.setPassword(password);

    return new HikariDataSource(hikariConfig);
}

三、HTTP參數異常

1、HTTP參數異常類型：HTTP參數異常類型包括以下幾種：

• 參數缺失：參數未被正確傳遞或沒有傳遞，在處理過程中會導致一系列異常。
• 參數類型錯誤：參數類型不匹配，導致解析失敗。
• 參數格式錯誤：參數格式不正確，如郵箱地址、URL地址等。
• 參數取值錯誤：參數取值超出範圍、合法範圍等。

2、HTTP參數格式：HTTP請求中常見的參數格式為GET和POST。GET請求中，參數直接存放在請求URL中，如：http://www.example.com?name=example；而在POST請求中，參數存放在請求體中。請看下面的Java代碼示例，展示如何利用GET和POST發送HTTP請求：

//GET請求
CloseableHttpClient httpClient = HttpClients.createDefault();
HttpGet httpGet = new HttpGet("http://www.example.com?name=example");
try (CloseableHttpResponse response = httpClient.execute(httpGet)) {
    String result = EntityUtils.toString(response.getEntity());
    ……
}

//POST請求
CloseableHttpClient httpClient = HttpClients.createDefault();
HttpPost httpPost = new HttpPost("http://www.example.com");
List parameters = new ArrayList();
parameters.add(new BasicNameValuePair("name", "example"));
httpPost.setEntity(new UrlEncodedFormEntity(parameters, "UTF-8"));
try (CloseableHttpResponse response = httpClient.execute(httpPost)) {
    String result = EntityUtils.toString(response.getEntity());
    ……
}

四、HTTP怎麼調參數

1、判斷參數類別：首先，我們需要根據參數類別去對參數進行調整。例如，對於響應返回時間較長的請求，可以通過配置HTTP連接個數等方法進行優化。

2、調整參數值：針對不同參數進行參數值調整。例如，對於參數缺失問題，需要對應參數是否必傳進行檢測；對於請求參數格式錯誤，需要對應參數格式進行規範化等。

3、了解HTTP參數機制：根據HTTP參數機制來進行調參數。例如，參數默認值、超時時限、緩存大小等等。例如，對於緩存問題，可以適當增大緩存值，提高效率。

五、HTTP請求認證參數丟失

1、驗證參數合法性：首先需要對請求參數進行合法性驗證，防止參數被誤刪或篡改。請看下面的Java代碼示例，對請求進行簽名驗證：

//生成簽名
public static String generateSignature(String params, String secret) {
    ……
}

//驗證簽名
public static boolean verifySignature(String params, String secret, String signature) {
    String serverSignature = generateSignature(params, secret);
    return serverSignature.equals(signature);
}

2、保護參數安全：對於重要參數，使用SSL等安全協議進行保護，對於一些公共參數，使用固定值進行保護，以提高參數到達服務端的安全性。

3、日誌記錄：記錄請求參數的訪問日誌，能夠及時發現和追查問題，以及排查惡意行為。

六、總結

HTTP參數污染是互聯網安全領域中的一個重要研究方向，防範HTTP參數污染需要針對不同的攻擊方式進行具體的解決。HTTP參數污染除了會對信息安全造成威脅之外，還可能直接影響應用程序的性能，甚至導致應用程序崩潰。因此，我們需要加強HTTP參數污染的意識，制定針對性的防範措施，保證Web服務的安全。