我希望验证我的网络应用程序没有路径遍历漏洞。
我尝试使用curl
来实现,如下所示:
$ curl -v http://www.example.com/directory/../
我希望明确地向/directory/../
URL 发送HTTP请求,以测试涉及代理的特定nginx规则是否容易受到路径遍历的攻击。也就是说,我想发送以下HTTP请求:
> GET /directory/../ HTTP/1.1
但是curl
正在将请求重写为/
URL,如输出中所示:
* Rebuilt URL to: http://www.example.com/
(...)
> GET / HTTP/1.1
是否可以使用 curl
进行此测试,强制在请求中传递完整的 URL?如果不行,有什么适当的方法呢?
curl
?我似乎无法复制这种行为,至少在我curl
本地主机 URL 时没有出现。 - alexw