<div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">1. Is there a library of URL / Header injection tests e.g. for fuzzing that we could generate additional test cases with or from?</blockquote><div><br></div><div><a href="https://github.com/swisskyrepo/PayloadsAllTheThings">https://github.com/swisskyrepo/PayloadsAllTheThings</a> seems to contain payload related stuff but not sure how useful it is for URL parsing.<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div><br></div><div>2. Are requests.get() and requests.post() also vulnerable?</div></blockquote><div><br></div><div>urllib3 seems to be vulnerable as noted in <a href="https://bugs.python.org/issue36276#msg337837">https://bugs.python.org/issue36276#msg337837</a> . requests uses urllib3 under the hood. The last time I checked requests passed encoded URL to urllib3 where this doesn't seem to be exploitable but I could be wrong.<br></div></div><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">Regards,<div>Karthikeyan S</div></div></div></div></div></div>