Chcę sprawdzić, czy moja aplikacja internetowa nie ma usterki path traversal.Sprawdzanie podatności na traversal path w serwerze WWW
Próbuję użyć curl
za to tak:
$ curl -v http://www.example.com/directory/../
Chciałbym żądanie HTTP do wyraźnie zaznaczonych do /directory/../
URL, aby sprawdzić, czy konkretny przepis nginx udziałem pełnomocnika nie jest narażone na przemierzanie ścieżki. To znaczy, chciałbym to żądanie HTTP do wysłania:
> GET /directory/../ HTTP/1.1
Ale curl
jest przepisywanie wniosek co do /
URL, jak widać na wyjściu:
* Rebuilt URL to: http://www.example.com/
(...)
> GET/HTTP/1.1
Czy jest możliwe użyć testu curl
, zmuszając go do podania dokładnego adresu URL w żądaniu? Jeśli nie, jaki byłby odpowiedni sposób?
Potrzebujesz więcej informacji, dodając do mojej odpowiedzi? – SilverlightFox
fernando, czy kiedykolwiek dostałeś odpowiedź na to pytanie, które używa tylko curl? –
Którą wersję 'curl' używasz? Nie mogę replikować tego zachowania, przynajmniej nie kiedy "zwijam" adres URL lokalnego hosta. – alexw