各位前輩好：
近期我的網站被弱點掃描系統偵測HTTP parameter pollution, google之後也有人在提問類似的問題,
http://forum.joomla.org/viewtopic.php?f=714&t=863344
但目前找不到解法，不知各位前輩是否有經驗，如何解決類似的問題，
感恩～

掃描結果可以指出是那個檔案或是擴充套件有發生疑慮嗎？你所提供的連結主題有提到這件事。
如果沒有安裝任何第三方擴充套件的 Joomla! 2.5.28 有被掃描到可疑弱點，那才是真的要注意的。

您好，感謝您的回覆，被掃的連結是採用"部落格式的文章"呈現選單出問題，我的網站有兩個這種的，一個沒有被掃出來，另會被掃出來，我去選單把被掃到的那個連結關閉，就不會被掃出來了。那是原生的問題，並不是某個模組的關係。我的Joomla版本是2.5.27，我去查過2.5.28的released note，並沒提到此問題。

Domain http://xxxx 嚴重性 High
弱點編號 HTTP parameter pollution 弱點名稱 HTTP parameter pollution
參數 limitstart 測試語法(Request/Response)

影響網址 http://xxxx
弱點描述 Description:
This script is possibly vulnerable to HTTP Parameter Pollution attacks.
HPP attacks consist of injecting encoded query string delimiters into other existing parameters. If the web application does not properly sanitize the user input, a malicious user can compromise the logic of the application to perform either clientside or server-side attacks.

掃描工具是告訴你「疑似」發現了問題，而不是「確定」發現了問題，「有可能」跟「真的是」還是有距離。
如果你能接受掃毒軟體可能誤判，那麼為什麼會認定掃描工具的結果百分百可靠？

寫上面這些並不是要告訴你 Joomla! 核心程式碼固若金湯，而是如果 Joomla! 核心
真的出現這種程度的問題，以其知名度早就被轟得體無完膚，各大科技資訊網站也會大篇幅報導。

Joomla! 核心有出過問題嗎？有，1.5 初期版本有出過包，也因此有了 Joomla Security Strike Team 緊盯安全性問題。

要確定網站是否真有安全上的漏洞，最有效的方法是聘請資安專家進行滲透測試，
合約中會載明滲透方式，不會破壞網站結構，並且提供問題來源及建議解決方案。

Joomla! 2.5 系列雖然在去年結束官方維護，不過要是真的出了什麼大包官方還是會有動作，
或許你正在協助 Joomla Security Strike Team 發現未被發掘的問題也說不定。

定義：
HTTP Parameter Pollution (HPP)攻擊包含將編碼的字串限制字元注入其他現有參數。如果網頁應用程式不能妥當清潔使用者輸入，惡意使用者可能危及應用程式邏輯，執行用戶端或伺服器端的攻擊。經由提交額外參數到網頁應用程式，且如果這些參數的名稱與現有參數相同，網頁應用程式可能以下列其中一種方式反應：

僅可使用第一個參數的資料
可使用最後一個參數的資料
可使用所有參數的資料，並將這些資料串連在一起

說明：
如果會在某頁面有問題，而其他的頁面沒有，有可能是頁面裡的連結內容或具有送出字串功能出現"嫌疑"而被掃到。而不是「整個」系統有這個問題。即使在目前的Joomla 3的版本，也時不時有人到官方討論區去問類似的問題，例如：
http://forum.joomla.org/viewtopic.php?f=714&t=863344
或是掃到某個套件的：
http://hwdmediashare.co.uk/forum/problems/73343-cross-site-scripting-and-http-parameter-pollution

我想主要的討論點當然是主程式或套件是否有這個會造成被駭或入侵的漏洞，HPP的範圍很大，不論是那一種網頁用得到的程式語言，都在它的檢測範圍。況且它也只能對網頁外部作測試，至於伺服器中的程式是如何過濾或處理這些request的字串，它就不管了。

你可以比對一下有問題和沒問題的頁面中的內容，或是它的功能性，有更多資訊的話會比較清楚知道原因是什麼。

好的。謝謝版主與站長熱心說明。