阻止 Firefox 或 Chrome 在页面请求之前评估 URL?

信息安全 开发 脆弱性 目录遍历
2021-08-22 08:33:36

如果您浏览到此页面:

http://192.168.10.8/../../../../../windows/win.ini

Firefox/Chrome 将首先评估 URL。请求的结果页面将是:

http://192.168.10.8/windows/win.ini

在将 GET 请求发送到服务器之前,URL 已被规范化并且目录遍历漏洞已被删除。这可以通过命令行工具来克服,例如 curl 通过使用“--path-as-is”标志。

有没有办法在 Firefox/Chrome 中覆盖此功能,以便可以从浏览器内部拉出页面?

这对我来说很容易用 curl 重现,但对开发团队来说更难想象这个问题。当他们尝试在浏览器中执行此操作时,他们只会收到 404 响应并假设代码是安全的。

0个回答
没有发现任何回复~
其它你可能感兴趣的问题
上一篇我是否需要在 SSO Web 应用程序中使用 SAML 和 JWT 进行身份验证? 下一篇创建符合 FIPS 的 SSH 的一般方法是什么?