[Natas] Natas6 - Natas7

1. Question

-   비밀번호를 입력하라는 문구와 비밀번호를 입력하는 input필드, 비밀번호를 검증하는 submit버튼이 존재한다.

 

2. Answer

-   소스코드를 봤을때 input영역에 name값이 secrect이고 submit버튼을 통해 전송될 경우 post로 전송되는것을 확인

 

 

-   php 코드를 확인해본 결과 secret 값이 $_POST['secret']인 경우 인증 수행 하고 include 영역에 /include/secret.inc 파일이 참조되어 있음

(php 코드는 서버에서 설정하므로 일반 사용자가 볼 수 없지만 힌트를 제공하기 위해서 따로 보여준것으로 추측됨)

 

1) inc 파일이란?

-   여러 파일에 똑같은 소스가 중복되어 들어갈경우 소스의 최적화, 유지보수 효율 증대를 위해 중복되는 소스만 따로 빼서 만든 새로운 파일

-  단독으로 실행되는 경우가 없으므로 웹상에서는 그냥 텍스트 형식으로 보임

 

 

 

-   secret 변수 값이 Main Source에는 존재하지 않아서 include 경로인 /includes/secret.inc로 접근 후 secret 변수 확인

 

3. Success

4. 해결 방안

-  inc 파일 안에 DB 정보 등 중요한 내용이 담긴 변수들을 저장하지 않는다.

 

 

[출처]
inc 개념: https://blog.naver.com/dg20011616/10037377379