Desidero verificare che la mia applicazione Web non abbia una vulnerabilità di attraversamento del percorso.Verificare la vulnerabilità di attraversamento del percorso nel server Web
sto cercando di utilizzare curl
per questo, come questo:
$ curl -v http://www.example.com/directory/../
vorrei che la richiesta HTTP da effettuare in modo esplicito all'URL /directory/../
, per verificare che una regola specifica che coinvolge nginx proxy non è vulnerabile al path traversal. Vale a dire, vorrei questa richiesta HTTP da inviare:
> GET /directory/../ HTTP/1.1
Ma curl
sta riscrivendo la richiesta come all'URL /
, come si può vedere nella uscita:
* Rebuilt URL to: http://www.example.com/
(...)
> GET/HTTP/1.1
E 'possibile utilizzare curl
per questo test, costringendolo a passare l'URL esatto nella richiesta? In caso contrario, quale sarebbe un modo appropriato?
Hai bisogno di ulteriori informazioni sulla mia risposta? – SilverlightFox
fernando, hai mai avuto una risposta a questa domanda che usa solo arricciatura? –
Quale versione di 'curl' stai usando? Non riesco a replicare questo comportamento, almeno non quando ho "arricciato" un URL localhost. – alexw