Door Anoniem: OK. Dan bij deze het antwoord op dit draadje.
... de /etc/passwd is vaak alleen toegankelijk voor de root. Dus als je webserver onder user www of www-data draait heb je daar je een issue...
Sorry hoor, maar dit klopt niet. Zie ook http://en.wikipedia.org/wiki/Passwd: "The /etc/passwd file typically has file system permissions that allow it to be readable by all users of the system (world-readable)". Daarom wordt het juist gebruikt voor file inclusion en path traversal bewijs. Ook geeft de php functie "include" geen foutmelding bij het includen, het is gewoon een tekst bestand dat als tekst zal worden weergegeven.
Ook krijg je op de eerste hit op google wat DVWA is en waarom hij daarmee /etc/passwd probeert op te halen.