前回：やられアプリ BadTodo - 6 ディレクトリトラバーサル - demandosigno

ZAPの例のアドレスを入力してみます。
https://todo.example.jp/resize.php?path=http%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3DOWASP%2520ZAP&basename=elephant.png&size=64

外部のサービス（google検索）が実行されていることが分かります。

今回のアドレスはhttps://todo.example.jp/resize.phpであり前回のディレクトリトラバーサルと同じです。
https://todo.example.jp/resize.php?path=icons&basename=..%2F..%2F..%2F..%2F..%2Fetc%2Fpasswdで /etc/passwd が閲覧できます。このようにファイルインクルード攻撃の影響としてWebサーバー内の非公開ファイルの漏洩が起こります。
ここまではディレクトリトラバーサルと同じですが、インクルード機能は外部から指定したスクリプトを読み込んで実行できます。

BadTodoには悪意のあるサイトの例として trap.example.org が用意されています。このサイトに置いてあるPHPファイル dump.php は下記ですが 、

これを todo.example.jp から読み込んでみます。

読み込めました。

次回：やられアプリ BadTodo - 8.1 OS コマンド・インジェクション（リモートコード実行。CVE-2012-1823） - demandosigno