Ich möchte überprüfen, dass meine Webanwendung keine Pfadüberquerungsschwachstelle aufweist.Überprüfen Sie die Traversal-Sicherheitsanfälligkeit im Webserver
Ich versuche curl
dafür zu verwenden, wie folgt aus:
$ curl -v http://www.example.com/directory/../
Ich würde die HTTP-Anforderung weist ausdrücklich auf die /directory/../
URL gemacht werden, dass eine spezifische nginx Regel zu testen Proxy beinhaltet, ist nicht anfällig für Pfaddurchquerung. Dh, ich würde die HTTP-Anforderung verschickt werden soll: in Bezug auf die /
URL
> GET /directory/../ HTTP/1.1
Aber curl
ist Umschreiben die Anfrage, wie in der Ausgabe zu sehen:
* Rebuilt URL to: http://www.example.com/
(...)
> GET/HTTP/1.1
Ist es möglich, Verwenden Sie curl
für diesen Test und zwingt es, die genaue URL in der Anfrage zu übergeben? Wenn nicht, was wäre ein geeigneter Weg?
Benötigen Sie weitere Informationen zu meiner Antwort? – SilverlightFox
fernando, hast du jemals eine antwort auf diese frage bekommen, die nur curl benutzt? –
Welche Version von 'curl' verwendest du? Ich kann dieses Verhalten anscheinend nicht replizieren, zumindest nicht, wenn ich eine localhost-URL "curl". – alexw