Что такое параметр pollution (HTTP Parameter Pollution)?

HPP — передаём один параметр несколько раз: ?user_id=1&user_id=99. Серверы обрабатывают по-разному: PHP берёт последний, Node.js — массив, ASP.NET — первый. Атака: обходим валидацию или логику использующую определённый параметр. Тестируем: дублируем query params, тело запроса (для JSON несколько одинаковых ключей), Header дублирование. Что ищем: неожиданное поведение, обход rate limiting (два разных user_id), обход authorization checks. Защита: явно определять что делать при дублировании параметров.