DVWA - Level Medium File Inclusion

Security Level - MEDIUM

medium 에서는 실행이 되지 않는다.

바로 주면 실행된다. 즉 일부 문자열에 대해 방어가 되어있다는걸 알 수 있다.

파일 실행이 되지 않음

File Inclusion Source Low보다 아래 두 줄이 더 생겼음 http, https 문자열들이 들어오면 str_replace(문자열 대체 함수) 공백으로 처리해서 파일 변수에 넣게 돼있음

---

잠시 HTML에 관하여

HTML 특징 및 장점

웹 문서의 표준

- 수정 및 관리 용이

- 웹 접근성 향상

- 호환성 확보

 

마크업 언어

- 파일 용량이 작아 클라이언트-서버 간 빠른 문서 전달 가능

 

일반적인 텍스트 파일

 - 별도의 전용 프로그램이 아닌 간단한 메모장 같은 편집기로도 충분

 

컴퓨터 시스템과 운영체제에 독립적

- 텍스트 문서를 어떤 시스템이나 브라우저에서도 사용가능

 

 

HTML 단점

웹 문서 내용 표현에 집중

- 내용의 의미보다 외양적으로 표현하는 태그에 치중

 

구조화된 정보의 표현과 검색의 어려움

-정보의 구조화 및 데이터 간의 연관성 표현 어려움

 

제한적 태그

-사용의 편의성 반면에 융통성 및 확장성 결여

 

문서의 유효성 검증고 제약조건 정의의 어려움

-구조화의 부재로 정확/유효성의 검증 어려움

 

대소문자를 구분하지 않음

 

---

즉 이런 HTML의 특징을 이용하면,

이렇게 공백처리하는 코드들을 교묘하게 피해서 입력하면 파일을 실행시킬 수 있다.