
644
第2部 ハッキングを体験する
Inclusion)に分類されます。LFI は、ターゲット端末上のファイルを用います(*18)。
一方、RFIは、攻撃者が用意した遠隔に位置するファイルを用います。
右上の「Choose your bug」のプルダウンメニューで、「A7 - Missing Functional
Level Access Control」内の「Remote & Local File Inclusion (RFI/LFI)」を選択
して、[Hack]ボタンを押します。すると問題ページが表示されます(図 7-37)。
図7-37 「Remote&LocalFileInclusion(RFI/LFI)」のページ
「English」を選んだ状態で[Go]ボタンを押すと、下部に "Thanks for your
interest in bWAPP!" と表示されました。このときの URL は、「http://10.0.0.103/
bWAPP/rlfi.php?language=lang_en.php&action=go」となっています。つまり、
"lang_en.php" ファイルが実行されて、その結果が表示されたと推測できます。
それではURL を編集して LFIを試みます。「http://10.0.0.103/bWAPP/rlfi.php? ...