[HackThis] Main level4

앞에 main level 문제와 마찬가지로 소스코드에서 확인 하실 수 있습니다.

소스코드를 보니 'hidden' 타입으로 passwordfile이 있다고 합니다.

../../extras/ssap.xml 파일 속에 있는거 같습니다.

../ 가 허용되는 것을 보니 파일 다운르도 취약점을 이용한 문제로 판단됩니다.

리눅스에서 .. 는 상위 디렉터리로 가는 명령으로 홈페이지를 제작할 때 ..를 허용하면 여러가지 파일들을 안전하게 보호할 수 없습니다.