文章总结： 本文讲解HTTP参数污染原理，通过将uid构造为数组绕过校验实现越权访问。结合玄域靶场演示了攻击流程并获取Flag，分析了该漏洞在NoSQL与SQL中的危害，同时提出了输入严格校验、请求签名加密及服务端权威数据源等防护措施。 综合评分： 80 文章分类： WEB安全,渗透测试,漏洞分析,实战经验

【网安】参数污染技巧！结合越权漏洞实操演示和讲解！

原创

無名 無名

无名的安全小屋

2026年2月26日 10:00 江苏

01

参数污染是什么

HTTP参数污染是一种利用Web应用后端对同名参数或数组型参数解析逻辑不一致或处理不当，从而绕过安全限制、篡改业务逻辑或越权访问数据的攻击技术。

在后面的实操演示中，攻击核心在于uid参数本设计为接收单个用户标识（如”uid”: 5201314），用于查询当前用户的个人信息。

但后端在实现时未对参数类型进行严格校验，导致当攻击者将uid构造为JSON数组格式（”uid”: [5201314,5201315]）传入时，后端代码可能直接将该数组作为查询条件的一部分。

这种查询条件的污染通常表现为两种形式。第一种是在NoSQL数据库（如MongoDB）中，数组会被解析为$in操作符，生成类似于{uid: {$in: [5201314, 5201315]}}的查询语句，匹配数组内任意元素。

第二种是在传统SQL数据库中，可能生成WHERE uid IN (5201314,5201315)的批量查询条件。无论哪种形式，最终结果都是将原本的单条记录查询污染为批量数据查询。

这种污染不仅实现了水平越权，即普通用户A通过提交多个UID批量获取用户B、C等其他用户的敏感信息，还可能因后端框架的隐式类型转换特性绕过某些基于单值比对的权限检查逻辑。

例如在JavaScript中，数组与字符串的松散相等比较[5201314] == “5201314”结果为true，这可能使原本用于验证”当前用户只能查看自己的数据”的判断逻辑被轻易绕过。

更深层的危害在于，若该接口涉及数据修改操作，参数污染可能导致批量未授权操作（如同时修改多个用户数据），或与NoSQL注入、命令注入等漏洞形成组合攻击链。

攻击者甚至可以通过构造特殊数组结构，尝试注入MongoDB操作符（如{“$ne”: null}）来实现全表数据遍历。

02

实操技巧演示

结合玄域靶场越权漏洞-11

玄域靶场：www.shangsec.com

然后这个靶场平台也给大家提供了大量的实战漏洞环境，可以供大家进行网络安全技巧的练习和知识的巩固。

强烈推荐这个平台，不仅有web靶场环境，还有安卓App和苹果App靶场环境！

开启玄域越权漏洞靶场-11环境后，开启burpsuite进行抓包，点击点击查看信息功能后。

在burpsuite中找到相应的功能数据包。

后续查看发现uid值并未进行加密。

然后尝试使用数组的形式进行参数修改，然后发包，然后直接越权查询到其他用户的数据，并成功获取到了Flag。

值得注意的是，若是出现该种用户类型的参数（utype）这种参数，可以尝试进行修改成admin，root等。

03

开发层面如何防护

输入层严格类型校验

在接口入口处强制实施参数类型检查，明确拒绝数组、对象等非预期类型。

对于数字型字段（如uid），使用强类型转换或正则表达式白名单（如^\d+$），确保传入数组时直接抛出异常，而非静默取首元素或末元素，从源头阻断污染载荷传入。

传输层请求签名加密

对关键参数实施HMAC-SHA256签名，客户端将敏感参数按固定排序拼接后结合时间戳和密钥生成签名值，服务端重新计算比对，若参数被篡改为数组则签名验证失败。

更严格的方案采用AES-GCM等认证加密算法对全请求体加密，并加入随机数（nonce）和时间窗口校验，防止重放攻击。

逻辑层服务端权威数据源

彻底摒弃从客户端读取用户身份标识的做法。uid必须从JWT令牌声明中解析，UType等权限标识由服务端根据已认证身份查询数据库获取。

客户端提交的权限参数均予以忽略，实现”服务端会话权威化”，消除客户端参数污染对权限判断的影响。

往期文章

【玄域靶场平台】年会员来啦！| web/安卓/苹果渗透靶场

【黑客】App如何抓包？玄域App漏洞靶场实操演示

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：无名的安全小屋 無名 無名《【网安】参数污染技巧！结合越权漏洞实操演示和讲解！》