Se navighi su questa pagina:
http://192.168.10.8/../../../../../windows/win.ini
Firefox / Chrome valuteranno prima l'URL. La pagina risultante richiesta sarà:
http://192.168.10.8/windows/win.ini
L'URL è stato normalizzato e l'exploit directory traversal è stato rimosso prima che la richiesta GET sia inviata al server. Questo è possibile superare con gli strumenti da riga di comando, come ad esempio curl usando il flag "--path-as-is".
C'è un modo per ignorare questa funzionalità in Firefox / Chrome in modo che le pagine possano essere estratte dall'interno di un browser?
È facile riprodurlo con il ricciolo, ma è più difficile per il team di sviluppo visualizzare il problema. Quando provano a farlo nei loro browser, ricevono solo una risposta 404 e assumono che il codice sia sicuro.