Portswigger academy Path traversal Lab: File path traversal, validation of file extension with null byte bypass (end)

 

Di lab kerentanan path traversal selanjutnya adalah menambahkan null byte. Hal ini karena terkadang sistem mengharuskan membaca format ekstension, seperti .jpg

Contoh:  filename=image.jpg

Jadi, null byte (%00) digunakan untuk menghentikan pemrosesan path sebelum sistem membaca ekstensi yang diwajibkan.

Buka lab dan tangkap salah satu image dengan burpsuite:

Selanjutnya send to repeater dan ubah parameter: ../../../etc/passwd%00.png

Klik send, dan lab diselesaikan.