摘要:
这道题,过滤了大部分常见的传参,甚至连空格、等于号也过滤了,但是没有过滤报错注入 是个表单,有两个可填字段:账号密码,虽然是表单,但是是get传参 这里补充一下:--+经过url编码就是--空格 #经过URL编码就是%23,get传参不能写井号,不会被传参,会认为是锚点,--空格的最后一个空格不会被 阅读全文
摘要:
由于flask是非常轻量级的web应用,用户的session竟然存在客户端,在cookie的session字段中,例如admin这道长ctf赛题中随便注册了一个账号,F12查看cookie,里面session字段的值 为:session:".eJxF0MGKgzAQgOFXWebcQ2PtRejBJ 阅读全文