2024年4月23日
flask session 伪造 伪随机数题
摘要: 今天见了一个没做过的flask伪造题目,先看题[CISCN 2019华东南]Web4 点击发现参数?url=XXX可以利用,尝试下file协议。 被过滤了,可能是匹配,尝试绕过下。 看看环境变量发现/app 看下/app/app.py 明显的session伪造,但是secrect_key生成却是伪随 阅读全文
posted @ 2024-04-23 17:04 jockerliu 阅读(98) 评论(0) 推荐(0)