Если http://, то tcpdump. Если https://, то strace.

Поднять web-сервер на локалхосте с говноскриптом, который тупо будет писать POST в файл или высерать в теле ответа.

Ну как-то так.

ходить через проксик и на нем собирать инфу

Мне бы сильно помогла отладка на тему того, что libcurl собственно пуляет на сервер.

Так что мешает? Укажи в своем коде адрес для POST-а вроде http://localhst:1234, и повесь там nc -l 1234

Через дебаггер - не, никак? Ты детальо сможешь увидеть, что шлет на сервер Net::Curl и что тебе отвечает сервер. Т.е. полный контроль над данными и стеком вызовов подпрограмм в перловом интерпреторе.

perldoc perldebtut

strace тяжеловат будет для того, чтобы из груды хлама, вытаскивать отправляемое curl'ом в сокет... Хотя конечно как вариант.

Я разобрался, вроде: во-первых, нужны зачем-то обе опции: COOKIE_FILE и COOKIE_JAR, во-вторых с точки зрения странного Redmine'а на той стороне нужно кодировать запрос вот так:

my $post={
                'username'=>'UserTest',
                'password'=>'12345678',
                'login'=>'Login+»',
                'utf8'=>'✓',
                'authenticity_token'=>$authToken,
};

$ua->setopt( 
  CURLOPT_POSTFIELDS =>
  my $postContent=join('&' => 
    map $_->[0].'='.$ua->escape($_->[1]), 
      map [each $post], 1..keys $post)
);

Для тестирования чужого портала, да ещё написанного поверх и без того проблемного Redmine'а - localhost точно не поможет.

А нет, достаточно всё-таки только CURLOPT_COOKIEJAR.

Хотя на самом деле мне хранить cookies'ы в файле - вообще даром не сдалось, нужно бы в памяти их накапливать... как-то, непонятно как.

во-первых, нужны зачем-то обе опции: COOKIE_FILE и COOKIE_JAR

• COOKIE_FILE - из какого файла прочитать начальные печеньки.
• COOKIE_JAR - в какой файл записать печеньки при закрытии easy сессии.

Обе эти опции нужны, если ты хочешь сохранять печеньки в файлах между сессиям. Если у тебя одна сессия и печеньки ты хочешь хранить в оперативной памяти, то тебе надо в CURLOPT_COOKIEFILE передать пустую строку.

Я тут херню написал...

Если https://, то strace.

gdb тут нужен. strace не поможет.

Итог мучений сохранил на память:

https://pastebin.com/1JiYNtFc

Буквально в прямом эфире попробую COOKIEFILE с пустой строкой...

ДА!! Есть такое дело, спасибо огромное, Иван!

Действительно

CURLOPT_COOKIEFILE  => ''

-решает проблему сохранения даром ненужных (после завершения сессии) кукисов!

Я вообще не знаю перл, но правильнее скорее всего будет так:

$ua->setopt( CURLOPT_POSTFIELDS, my $postContent=join('&' => map $ua->escape($_->[0]).'='.$ua->escape($_->[1]), map [each $post], 1..keys $post) );

Для тестирования чужого портала, да ещё написанного поверх и без того проблемного Redmine'а - localhost точно не поможет.

Кажется, ты меня неправильно понял.

// console 1
$ curl -F test=one -F test=two http://localhost:1234
// console 2
$ nc -l -p 1234
POST / HTTP/1.1
Host: localhost:1234
User-Agent: curl/7.53.0
Accept: */*
Content-Length: 238
Expect: 100-continue
Content-Type: multipart/form-data; boundary=------------------------22d2e8d1b2a1843e

--------------------------22d2e8d1b2a1843e
Content-Disposition: form-data; name="test"

one
--------------------------22d2e8d1b2a1843e
Content-Disposition: form-data; name="test"

two
--------------------------22d2e8d1b2a1843e--

Если действительно нужно экранировать и L, и R-части выражения, то тогда вот так намного проще и короче:

$ua->setopt( CURLOPT_POSTFIELDS =>
  my $postContent=join('&' => map join('=', map $ua->escape($_), each $post), 1..keys $post)
);

Там 2 запроса в цепочку встают: от результата первого запроса зависит то, что пойдёт во второй.

Если действительно нужно экранировать и L, и R-части выражения,

В идеале - да, потому что L тоже может быть любым и содержать любые символы.

Но сервер - разумеется, https, и tcpdump'ом фиг что увидишь.

sslsplit

CURLOPT_POSTFIELDS => URI::Query->new($post)->stringify

Да ну его в Ж, у меня получилось и быстрее, и яснее, и use'ы не нужны.

Кстати, да, в Net::Curl::Easy функция escape для чего-то да есть, согласись?

perl -d

Wireshark в помощь. Либо заскриптуй фейковый сервер через nc.