nova versio de la utileco por ricevi kaj sendi datumojn tra la reto - , kiu disponigas la kapablon flekseble formuli peton specifante parametrojn kiel ekzemple kuketo, user_agent, referencisto kaj ajnaj aliaj kaplinioj. cURL subtenas HTTP, HTTPS, HTTP/2.0, HTTP/3, SMTP, IMAP, POP3, Telnet, FTP, LDAP, RTSP, RTMP kaj aliajn retajn protokolojn. Samtempe, ĝisdatigo estis publikigita por la biblioteko libcurl, kiu estas disvolvita paralele, provizante API por uzi ĉiujn buklajn funkciojn en programoj en lingvoj kiel C, Perl, PHP, Python.
La nova eldono aldonas la opcion "--retry-all-errors" por reprovi operaciojn se iuj eraroj okazas kaj riparas du vundeblecojn:
- permesas vin anstataŭigi lokan dosieron en la sistemo kiam vi aliras servilon kontrolitan de la atakanto. La problemo aperas nur kiam la opcioj “-J” (“–remote-header-name”) kaj “-i” (“—head”) estas uzataj samtempe. La opcio "-J" permesas vin konservi la dosieron kun la nomo specifita en la kaplinio
"Enhavo-Dispozicio". Se dosiero kun la sama nomo jam ekzistas, la bukla programo normale rifuzas fari anstataŭigon, sed se la opcio "-i" ĉeestas, la kontrolo-logiko estas rompita kaj la dosiero estas anstataŭita (la kontrolo estas farita ĉe la stadio. de ricevi la respondkorpon, sed kun la opcio "-i" HTTP-kapoj unue estas montrataj kaj havas tempon por esti konservitaj antaŭ ol la respondkorpo komencas esti prilaborita). Nur HTTP-titoloj estas skribitaj al la dosiero, sed la servilo povas sendi arbitrajn datumojn anstataŭ kapoj kaj ili estos skribitaj. - povas konduki al liko al la DNS-servilo de kelkaj el la retejo-alirpasvortoj (Basic, Digest, NTLM, ktp.). Uzante la simbolon "@" en pasvorto, kiu ankaŭ estas uzata kiel pasvorta apartigilo en la URL, kiam HTTP-alidirektilo estas ekigita, buklo sendos la parton de la pasvorto post la simbolo "@" kune kun la domajno por solvi. la nomo. Ekzemple, se vi provizas la pasvorton "passw@rd123" kaj la uzantnomon "dan", curl generos la URL "https://dan:passw@[retpoŝte protektita]/vojo" anstataŭ "https://dan:passw%[retpoŝte protektita]/path" kaj sendos peton por solvi la gastiganton "[retpoŝte protektita]" anstataŭ "ekzemplo.com".
La problemo aperas kiam subteno por relativaj HTTP-alidirektiloj estas ebligita (malŝaltita per CURLOPT_FOLLOWLOCATION). Se tradicia DNS estas uzata, informoj pri parto de la pasvorto povas esti akirita de la DNS-provizanto kaj de atakanto, kiu havas la kapablon kapti trafikretan trafikon (eĉ se la origina peto estis per HTTPS, ĉar DNS-trafiko ne estas ĉifrita). Kiam DNS-over-HTTPS (DoH) estas uzata, la liko estas limigita al la DoH-funkciigisto.
fonto: opennet.ru