![]()
for_beginner Keyword : SSTI blacklist = ['os','subprocesses','exec','vars','sys','"','\+','open','rm','main','static','templates','ctf','rf','spawnlp','execfile','dir','dev','tcp','sh','import','built','__class__','for','request','\,','app','file','url_for','\[','\]','config'] def Prevent_SSTI(input): for i in blacklist: res = re.search(i,input) if res: return True else: return False @app.route(..
![]()
1-1. SQLi 101 1-2. Exploit SQLi 101, 102, 103, XSS 101 모두 SSTF에서 제공하는 뉴비를 위한 Tutorial 문제입니다. 문제를 보면 tutorial challenge이며 를 참고해서 풀라고 나와있습니다. SQLi 101은 tutorial guide를 보지 않고도 충분히 뉴비도 쉽게 풀 수 있는 난이도의 문제였습니다. 접근하면 단순한 로그인 화면이 보였고, 로그인을 실패하면 대놓고 SQL query문을 알려줍니다. 또한, admin으로 로그인하라고 친절하게 알려주기도 합니다. payload - admin' # id와 pw 값 모두 주어야 통과가 됩니다. 2-1. SQLi 102 2-2. Exploit 이전 문제와 같이 tutorial 문제입니다. 문제 페이지에..
