Requests: Ignorar URL de normalização

Criado em 10 dez. 2019  ·  4Comentários  ·  Fonte: psf/requests

Nos casos em que eu gostaria de testar vulnerabilidades Path Traversal em aplicativos da web, o URL de destino geralmente é https://example.com/../../path . Usando o método GET nas solicitações, esse URL será normalizado conforme abaixo. Consequentemente, isso levará a resultados indesejados no teste.

r = requests.get('https://example.com/../../path')
print(r.url)
# https://example.com/path

Com curl , temos uma opção para ignorar a normalização: --path-as-is . Então, temos uma opção equivalente para requests ?

picture everping
👍4

Comentários muito úteis

Tente usar o pedido preparado

url = "http://example.com/../something.txt"
s = requests.Session()
req = requests.Request(method='POST' ,url=url, headers=headers, data=data)
prep = req.prepare()
prep.url = url
r = s.send(prep, verify=False)
picture akmalhisyam em 13 jan. 2020
👍3

Todos 4 comentários

@EDjur Obrigado por sua informação. Você conhece uma solução alternativa para resolver isso?

everping picture everping em 10 jan. 2020

Tente usar o pedido preparado

url = "http://example.com/../something.txt"
s = requests.Session()
req = requests.Request(method='POST' ,url=url, headers=headers, data=data)
prep = req.prepare()
prep.url = url
r = s.send(prep, verify=False)
akmalhisyam picture akmalhisyam em 13 jan. 2020
👍3

@akmalhisyam Muito obrigado. Isso funciona bem.

everping picture everping em 16 jan. 2020

@akmalhisyam está correto aqui. Usar o fluxo de trabalho PreparedRequests normalmente resolverá problemas como este se você DEVE definir algo explicitamente.

nateprewitt picture nateprewitt em 10 fev. 2020
Esta página foi útil?
0 / 5 - 0 avaliações

Questões relacionadas

thadeusb picture thadeusb  ·  3Comentários
Matt3o12 picture Matt3o12  ·  3Comentários
xsren picture xsren  ·  3Comentários
justlurking picture justlurking  ·  3Comentários
jakul picture jakul  ·  3Comentários