参考Writeup
Awkward Bypass
s-3ntinel.github.io
対策点
blacklist = [~]
regex = re.compile(n, re.IGNORECASE)
username = regex.sub("", username)知ったことなど
【string.printable】
pythonで使用可能な文字を返すもの。
ブルートフォースのときに使われる。
【ブラインドの状態でデータを抜き取る】
詳細を記載するのはまずそうなのでここでは割愛
感想
SQLインジェクションには苦手意識(めんどくさいと思ってしまう)があるので、ソースコードを読み進められていなかったようです。
同CTFの「SaaS」はソースコード読んで解けたので、慣れなのかなと感じました。
コメント