Improper Handling of Extra Parameters
The product does not handle or incorrectly handles when the number of parameters, fields, or arguments with the same name exceeds the expected amount.
When applications receive duplicate parameters, they may process them inconsistently, leading to security bypasses or logic errors. Different frameworks may select the first, last, or combine duplicate parameters.
Cómo corregir esta vulnerabilidad
Estrategias de prevención para Improper Handling of Extra Parameters basadas en 2 reglas de detección de Shoulder.
Add hpp middleware to normalize duplicate query parameters
+ const hpp = require('hpp'); + app.use(hpp()); + app.get('/search', (req, res) => { const role = req.query.role; if (role === 'admin') { res.json({ admin: true }); } });
Explicitly check for and reject duplicate HTTP parameters
- from flask import request - - @app.route('/api/action') - def action(): - user_id = request.args.get('id') - # Attacker sends: ?id=1&id=admin - # Only gets first value, but backend proxy may use last + from flask import request, jsonify + + @app.route('/api/action') + def action(): + all_ids = request.args.getlist('id') + if len(all_ids) != 1: + return jsonify({'error': 'Duplicate parameters not allowed'}), 400 + user_id = all_ids[0] perform_action(user_id)
Encuentra vulnerabilidades en tu código
Usa Shoulder para escanear tu código en busca de patrones Improper Handling of Extra Parameters. 2 reglas.
# Scan with Shoulder CLI npx @shoulderdev/cli trust --cwe=235 # Or scan entire project npx @shoulderdev/cli trust .
Reglas de Detección (2)
Qué buscar en las revisiones de código
Estos patrones indican vulnerabilidades potenciales de Improper Handling of Extra Parameters. Búscalos durante las revisiones de código y auditorías de seguridad.
Escanea tu base de código para Improper Handling of Extra Parameters
Shoulder CLI encuentra patrones vulnerables en toda tu base de código.