CONNECT-metode

In die Go-programmeertaal is dit 'n algemene praktyk om HTTP-versoeke te hanteer, spesifiek met behulp van die net/http-biblioteek, om die versoekpad outomaties na 'n gestandaardiseerde formaat om te skakel. Hierdie proses behels:

• Paaie wat eindig met 'n skuinstrek (/) soos /flag/ word omgelei na hul nie-skuinstrek eweknie, /flag.

• Paaie wat gidsverspreidingsvolgordes bevat, soos /../flag, word vereenvoudig en omgelei na /flag.

• Paaie met 'n punt aan die einde, soos /flag/., word ook omgelei na die skoon pad /flag.

Daar is egter 'n uitsondering met die gebruik van die CONNECT-metode. Anders as ander HTTP-metodes, veroorsaak CONNECT nie die padnormaliseringsproses nie. Hierdie gedrag skep 'n potensiële geleentheid om toegang tot beskermde hulpbronne te verkry. Deur die gebruik van die CONNECT-metode saam met die --path-as-is-opsie in curl, kan 'n persoon die standaard padnormalisering omseil en moontlik beperkte areas bereik.

Die volgende opdrag demonstreer hoe om van hierdie gedrag gebruik te maak:

curl --path-as-is -X CONNECT http://gofs.web.jctf.pro/../flag

https://github.com/golang/go/blob/9bb97ea047890e900dae04202a231685492c4b18/src/net/http/server.go#L2354-L2364