- 博客(2)
- 收藏
- 关注
RSS订阅原创 TAMUctf 2025 Aggie Bookstore writeup
发现@app.route('/search', methods=['GET', 'POST']) 这个路由既接受GET,也接受POST,这是很奇怪的点进而发现, NoSQL注入漏洞,虽然对GET请求的输入进行了清洗,但POST请求中允许直接传递字典类型的查询条件。攻击者可以构造恶意MongoDB操作符进行注入攻击如。进入界面是这样的,一个搜索书名和作者的网页。下载完附件,看到app.py 发现。
2025-03-30 00:15:17
185
原创 输入一个整形数(最多可以到亿位),然后按汉语的习惯,将其读出来并输出。如1052,读作:一千零五十二。输入信息格式:“%s“输出信息格式:“%s“程序运行示例:1052一千零五十二
【代码】输入一个整形数(最多可以到亿位),然后按汉语的习惯,将其读出来并输出。如1052,读作:一千零五十二。输入信息格式:“%s“输出信息格式:“%s“程序运行示例:1052一千零五十二。
2023-05-11 21:54:57
368
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人