shikata ga nai

Private? There is no such things.

DVWAでコマンドインジェクション(Medium)

Hey guys!

セキュリティレベルを『Medium』に。

まずは、ソースコードの確認。

ブラックリストに2つの特殊記号を設定されたので、『Low』レベルの特殊記号『;』が使えなくなってしまいました。

 

f:id:ThisIsOne:20191112153413p:plain

 

ならば、別の特殊記号『|』を使用します。

うまくコマンドが機能したようです。

bashの場合、以下の特殊記号はコマンドの実行に使用されるので警戒が必要となります。

 『;』、『|』、『&』、『'』、『(』、『)』

 

f:id:ThisIsOne:20191112154607p:plain

 

以下の特殊記号について、ファイルへのアクセスが変化したり、コマンドの意味が変わったりするので警戒が必要となります。

 『$』、『*』、『<』、『>』、『?』、『[』、『]』、『!』、『{』、『}』

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain