패턴 검사하는 문제 풀 때

리얼월드나 CTF문제를 풀 때, 사용자의 입력값을 검사하는 루틴이 존재하는 경우가 있다.

예를 들면, FacebookCTF 2019 Web문제 중 'RCE Service'라는 문제에서는

위와 같이 php의 preg_match( )를 이용해서 사용자의 입력값을 검사한다.

이런 유형의 문제를 낸 출제자의 의도를 추측해보자면,

'패턴검사를 하는 preg_match( )의 어떠한 취약점을 알려주기 위해서 이런 문제를 내지 않았을까?' 라는

생각을 해볼 수 있다.

결론적으로는 preg_match( )의 취약점을 이용하는 문제가 맞다.

이러한 하나의 예시로는 위의 추측이 절대적이라고 말할 수 없지만,

새로운 기법이나 취약점을 알려주는 것이 CTF대회의 주된 목적 중 하나라고 봤을 때,

이런 추측은 합리적이라고 말할 수 있을 것이다.

" 사용자 입력값을 검사하는 부분이 중요한 Attack Vector일 가능성이 크다. "