şəbəkə üzərindən məlumatların qəbulu və göndərilməsi üçün yardım proqramının yeni versiyası - kuki, user_agent, referer və hər hansı digər başlıqlar kimi parametrləri göstərərək sorğunu çevik formalaşdırmaq imkanı təmin edir. cURL HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP və digər şəbəkə protokollarını dəstəkləyir. Eyni zamanda, C, Perl, PHP, Python kimi dillərdəki proqramlarda bütün curl funksiyalarından istifadə etmək üçün API təmin edən paralel olaraq inkişaf etdirilən libcurl kitabxanası üçün yeniləmə buraxıldı.
Yeni buraxılış hər hansı bir səhv baş verərsə əməliyyatları yenidən sınamaq üçün “--retry-all-errors” seçimini əlavə edir və iki zəifliyi aradan qaldırır:
- təcavüzkarın idarə etdiyi serverə daxil olarkən sistemdəki yerli faylın üzərinə yazmağa imkan verir. Problem yalnız “-J” (“–uzaqdan başlıq-adı”) və “-i” (“-başlıq”) seçimləri eyni vaxtda istifadə edildikdə ortaya çıxır. "-J" seçimi faylı başlıqda göstərilən adla saxlamağa imkan verir
"Məzmun-Ərazi". Eyni adlı fayl artıq mövcuddursa, curl proqramı adətən üzərinə yazmaqdan imtina edir, lakin “-i” seçimi varsa, yoxlama məntiqi pozulur və faylın üzərinə yazılır (yoxlama mərhələdə aparılır) cavab orqanının qəbulu, lakin “-i” seçimi ilə HTTP başlıqları ilk olaraq göstərilir və cavab orqanının işlənməsinə başlamazdan əvvəl yadda saxlamaq üçün vaxt var). Fayla yalnız HTTP başlıqları yazılır, lakin server başlıqlar əvəzinə ixtiyari verilənlər göndərə bilər və onlar yazılacaq. - bəzi sayta giriş parollarının (Basic, Digest, NTLM və s.) DNS serverinə sızmasına səbəb ola bilər. URL-də parol ayırıcı kimi də istifadə edilən parolda "@" simvolundan istifadə etməklə, HTTP yönləndirməsi işə salındıqda, curl həll etmək üçün "@" simvolundan sonra parolun bir hissəsini domenlə birlikdə göndərəcək. adı. Məsələn, "passw@rd123" parolunu və "dan" istifadəçi adını təqdim etsəniz, curl "https://dan:passw@" URL-ni yaradacaq.[e-poçt qorunur]"https://dan:passw%" əvəzinə /yol"[e-poçt qorunur]/path" və hostu həll etmək üçün sorğu göndərəcək "[e-poçt qorunur]"example.com" əvəzinə.
Problem nisbi HTTP yönləndiriciləri üçün dəstək aktiv olduqda ortaya çıxır (CURLOPT_FOLLOWLOCATION vasitəsilə aradan qaldırılır). Ənənəvi DNS istifadə edilərsə, parolun bir hissəsi haqqında məlumatı DNS provayderi və tranzit şəbəkə trafikinə müdaxilə etmək imkanı olan təcavüzkar əldə edə bilər (hətta ilkin sorğu HTTPS vasitəsilə olsa belə, DNS trafiki şifrələnmir). DNS-over-HTTPS (DoH) istifadə edildikdə, sızma DoH operatoru ilə məhdudlaşır.
Mənbə: opennet.ru