HTTP参数污染

我在1月底向谷歌报告了一种 reCAPTCHA 绕过方法。实现这种绕过方法需要web应用通过 reCAPTCHA 以一种不安全的方式来处理发送到/recaptcha/api/siteverify的请求,当这种情况发生时,攻击者每次都能绕过保护。