Requests: 정규화 URL 무시

에 만든 2019년 12월 10일 · 4코멘트 · 출처: psf/requests

웹 애플리케이션에서 Path Traversal 취약점을 테스트하려는 경우 대상 URL은 일반적으로 https://example.com/../../path 입니다. 요청에 GET 메서드를 사용하면 해당 URL이 아래와 같이 정규화됩니다. 결과적으로 이것은 테스트에서 의도하지 않은 결과를 초래할 것입니다.

r = requests.get('https://example.com/../../path')
print(r.url)
# https://example.com/path

curl 를 사용하면 정규화를 무시할 수 있는 옵션이 있습니다. --path-as-is . 그렇다면 requests 대해 동등한 옵션이 있습니까?

출처

everping

👍4

가장 유용한 댓글

준비된 요청을 사용해보십시오

url = "http://example.com/../something.txt"
s = requests.Session()
req = requests.Request(method='POST' ,url=url, headers=headers, data=data)
prep = req.prepare()
prep.url = url
r = s.send(prep, verify=False)

akmalhisyam 에 2020년 01월 13일

👍3

모든 4 댓글

@EDjur 정보 감사합니다. 이 문제를 해결할 수 있는 해결 방법을 알고 있습니까?

everping 에 2020년 01월 10일

준비된 요청을 사용해보십시오

url = "http://example.com/../something.txt"
s = requests.Session()
req = requests.Request(method='POST' ,url=url, headers=headers, data=data)
prep = req.prepare()
prep.url = url
r = s.send(prep, verify=False)

akmalhisyam 에 2020년 01월 13일

👍3

@akmalhisyam 대단히 감사합니다. 잘 작동한다.

everping 에 2020년 01월 16일

@akmalhisyam 이 여기에 맞습니다. 반드시 명시적으로 설정해야 하는 경우 PreparedRequests 워크플로를 사용하면 일반적으로 이와 같은 문제를 해결할 수 있습니다.

nateprewitt 에 2020년 02월 10일

이 페이지가 도움이 되었나요?

0 / 5 - 0 등급

Requests: 정규화 URL 무시

가장 유용한 댓글

모든 4 댓글

관련 문제