shikata ga nai

Private? There is no such things.

DVWAでコマンドインジェクション(Impossible)

Hey guys!

セキュリティレベルを『Impossible』に。

ポイントは大きく3点かと。

 1.stripslashes関数で入力された文字列よりバックスラッシュが取り除かれた文字列を返します。( \' → ' となります)

 2.explode関数で『.』で文字列を分割します。

 3.is_numeric関数で文字か数字かを確認します。

 

f:id:ThisIsOne:20191112165651p:plain

 

プログラミングは、ユーザが入力したIPアドレスの型式に対して厳密に記述されています。

特殊文字を列挙したブラックリストでの対応よりもホワイトリスト方式のほうが、効果的でセキュリティレベルは高くなるでしょう。

 

Best regards,

ひとりひとりの自覚をもった行動で、医療従事者と保健所職員を助けよう。

f:id:ThisIsOne:20200404115457p:plain