Improper Handling of Extra Parameters (CWE-235)

Improper Handling of Extra Parameters

The product does not handle or incorrectly handles when the number of parameters, fields, or arguments with the same name exceeds the expected amount.

When applications receive duplicate parameters, they may process them inconsistently, leading to security bypasses or logic errors. Different frameworks may select the first, last, or combine duplicate parameters.

व्यापकता

मध्यम

2 भाषाएँ कवर की गईं

प्रभाव

मध्यम

समीक्षा अनुशंसित

रोकथाम

प्रलेखित

2 फिक्स उदाहरण

2 रोकथाम

इस भेद्यता को कैसे ठीक करें

2 Shoulder डिटेक्शन नियमों पर आधारित Improper Handling of Extra Parameters के लिए रोकथाम रणनीतियाँ।

🟨 JavaScript सब देखें JavaScript विवरण →

HTTP Parameter Pollution Prevention in Express.js LOW

Add hpp middleware to normalize duplicate query parameters

+3 -0 javascript

+ const hpp = require('hpp');
+ app.use(hpp());
+ 
  app.get('/search', (req, res) => {
    const role = req.query.role;
    if (role === 'admin') {
      res.json({ admin: true });
    }
  });

🐍 Python सब देखें Python विवरण →

HTTP Parameter Pollution MEDIUM

Explicitly check for and reject duplicate HTTP parameters

+8 -7 python

- from flask import request
- 
- @app.route('/api/action')
- def action():
-     user_id = request.args.get('id')
-     # Attacker sends: ?id=1&id=admin
-     # Only gets first value, but backend proxy may use last
+ from flask import request, jsonify
+ 
+ @app.route('/api/action')
+ def action():
+     all_ids = request.args.getlist('id')
+     if len(all_ids) != 1:
+         return jsonify({'error': 'Duplicate parameters not allowed'}), 400
+     user_id = all_ids[0]
      perform_action(user_id)

3 पहचान

अपने कोड में भेद्यताएँ खोजें

Improper Handling of Extra Parameters पैटर्न के लिए अपने कोडबेस को स्कैन करने के लिए Shoulder का उपयोग करें। 2 नियम.

टर्मिनल

# Scan with Shoulder CLI
npx @shoulderdev/cli trust --cwe=235

# Or scan entire project
npx @shoulderdev/cli trust .

पहचान नियम (2)

🟨 Javascript 1 rules

HTTP Parameter Pollution Prevention in Express.js LOW

Detects missing HTTP Parameter Pollution (HPP) protection in Express.js applications.

🔷 Typescript 1 rules

HTTP Parameter Pollution Prevention in Express.js LOW

Detects missing HTTP Parameter Pollution (HPP) protection in Express.js applications.

🐍 Python 1 rules

HTTP Parameter Pollution MEDIUM

Detects handling of duplicate HTTP parameters without proper validation.

4 चेतावनी संकेत

कोड समीक्षा में किन बातों पर ध्यान दें

ये पैटर्न संभावित Improper Handling of Extra Parameters भेद्यताओं का संकेत देते हैं। कोड समीक्षा और सुरक्षा ऑडिट के दौरान इन्हें देखें।

🟡

handling of duplicate HTTP parameters without proper validation python-parameter-pollution

🔵

Request parameters used without HPP protection. Express converts duplicate query/body params to arrays, which can bypass javascript-express-hpp-prevention

🔵

missing HTTP Parameter Pollution (HPP) protection in Express javascript-express-hpp-prevention

🔍

अपने कोडबेस को इसके लिए स्कैन करें: Improper Handling of Extra Parameters

Shoulder CLI आपके पूरे कोडबेस में भेद्य पैटर्न खोजता है।

npx shoulder trust सभी नियम देखें