fbctf
-
패턴 검사하는 문제 풀 때공부정리 2019. 6. 18. 13:07
리얼월드나 CTF문제를 풀 때, 사용자의 입력값을 검사하는 루틴이 존재하는 경우가 있다. 예를 들면, FacebookCTF 2019 Web문제 중 'RCE Service'라는 문제에서는위와 같이 php의 preg_match( )를 이용해서 사용자의 입력값을 검사한다.이런 유형의 문제를 낸 출제자의 의도를 추측해보자면,'패턴검사를 하는 preg_match( )의 어떠한 취약점을 알려주기 위해서 이런 문제를 내지 않았을까?' 라는생각을 해볼 수 있다. 결론적으로는 preg_match( )의 취약점을 이용하는 문제가 맞다.이러한 하나의 예시로는 위의 추측이 절대적이라고 말할 수 없지만,새로운 기법이나 취약점을 알려주는 것이 CTF대회의 주된 목적 중 하나라고 봤을 때,이런 추측은 합리적이라고 말할 수 있을 것..