Webアプリケーションファイアウォールなどのテストでディレクトリトラバーサルのテストを行う際、手っ取り早くcurlで攻撃を行いたいことがある。ただ、そのまま「../../」といったパスを指定しても省略されてしまい、うまく攻撃してくれない。そんなときは、curlにオプションとして「--path-as-is」を付与することで対応が可能になる。
curl --path-as-is http://対象サーバのURL/../../../../etc/passwd今時ディレクトリトラバーサルでファイル読まれるようなWebサイトもそんな無いと思うが…。 まぁ、そもそもこんなリクエスト飛ばしてる時点でまともなクライアントからのアクセスでは無いので、それ以降の攻撃の可能性を事前に潰しておくのもいいだろう。
