Curlでディレクトリトラバーサルのテスト攻撃を行う

Webアプリケーションファイアウォールなどのテストでディレクトリトラバーサルのテストを行う際、手っ取り早くcurlで攻撃を行いたいことがある。ただ、そのまま「../../」といったパスを指定しても省略されてしまい、うまく攻撃してくれない。そんなときは、curlにオプションとして「–path-as-is」を付与することで対応が可能になる。

Sponsored Links

curl --path-as-is http://対象サーバのURL/../../../../etc/passwd

 

今時ディレクトリトラバーサルでファイル読まれるようなWebサーバ無いと思うが…。
まぁ、そもそもこんなリクエスト飛ばしてる時点でまともなクライアントからのアクセスでは無いので、それ以降の攻撃の可能性を事前に潰しておくのもいいだろう。


Written by blacknon

インフラ系のSE。一時期はプログラマ。 仮想化とオープンソースに興味あり。一日中寝てたい今日このごろ。 スペインとかで働きたいなぁ…(シエスタがあるので)

Leave a Comment

メールアドレスが公開されることはありません。

*