Chaîne de requête encodée avec une URL avec% 0 nul inséré sur certains serveurs

Comme @closetnoc le suggère, la présence du caractère NULL dans une URL pourrait ​​être considérée comme la source d'une attaque (que le logiciel soit vulnérable ou non est une autre affaire), de sorte que certains serveurs se protègent activement contre this (cependant, je ne suis pas au courant de sa mise en œuvre au core). RFC3986 - Identificateur de ressource uniforme (URI): Syntaxe générique fait spécifiquement référence à ceci:

Notez toutefois que le codage en pourcentage "% 00" (NUL) peut nécessiter un traitement spécial et doit être rejeté si l'application ne s'attend pas à recevoir de données brutes au sein d'un composant.

Sur mon serveur, toute URL contenant %00 dans la chaîne de requête est activement bloquée avec mod_security et un message 403 Forbidden est servi!

Cependant, si vous transmettez des données binary dans la chaîne de requête - ce qui est conçu pour textual data - alors il devrait être codé en base64 en premier (pour le convertir en texte brut) avant ​​étant une URL (pourcentage) codée pour la transmission dans l'URL.

J'ai trouvé ceci rapport de bogue PHP # 53767 (bien que considéré comme "pas un bogue") à partir de 2011-01-17 pour PHP 5.3.4 où le paramètre URL semble être entièrement supprimé du tableau $_GET lorsque la valeur contient %00.

En fait, Rasmus lui-même répond et dit:

Impossible de reproduire. Exécutant probablement un code non standard PHP qui le fait.