Stefano di Paola et Luca Carettoni ont présenté un nouveau type d’attaque à OWASP AppSec Poland 2009: HTTP Parameter Pollution (HPP) ou, Pollution de paramètre HTTP. Cette catégorie d’attaque permet de surpasser les paramètres GET/POST de HTTP.
Selon eux, quelques grand noms sont vulnérable aux attaques HPP, incluant Google Search Appliance, Ask.com et Yahoo! Classic Mail.
Maintenant un nouveau type d’attaque à surveiller…
Leur présentation (en anglais): http://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf
Source (Nibble Security) (en anglais): http://blog.nibblesec.org/2009/05/hpp-hopefully-not-just-another-buzzword.html
Source (Minded Security) (en anglais): http://blog.mindedsecurity.com/2009/05/http-parameter-pollution-new-web-attack.html