Tests de robustesse des URLs

Envoyez des chemins et paramètres encodés pour vérifier comment le reverse proxy les transmet. L’objectif est de détecter les normalisations excessives, les doubles décodages ou les filtrages non désirés.

REQUEST_URI : /fuzz-lab.php?vector=%2Fmultiple%2Fslashes
Query string : vector=%2Fmultiple%2Fslashes
Décodage brut : /multiple/slashes

Points de contrôle

  1. Comparer la valeur encodée et décodée pour détecter un double décodage.
  2. Observer les logs du backend : le proxy supprime-t-il les segments suspects (../ etc.) ?
  3. Tester les caractères nuls (%00) ou les séquences Windows (%5c) pour voir si le proxy les transforme.
  4. Valider que les slashes multiples ne sont pas effacés si l'application en a besoin.

Vecteurs préremplis

../etc/passwd ..%2f..%2f..%2fetc%2fpasswd %2e%2e/%2e%2e/%2e%2e/etc/passwd %2fapi%2f%2e%2e%2f %25%32%66 a%00b ///multiple////slashes %2e%2e%5cwindows%5csystem32

En-têtes utiles

Host
hello-world-with-sessions-and-cookies-ito-ovh3-plesk.italic.dev
X-Forwarded-For
216.73.216.109
User-Agent
Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; ClaudeBot/1.0; +claudebot@anthropic.com)

Astuce : dépilez simultanément les logs du proxy et du backend pour repérer les divergences.