ssti 취약점 패치 질문드립니다.
안녕하세요. 다른 취약점들은 다 패치했는데, ssti 취약점은 도저히 어떻게 해야 패치 완료가 되는 것인지 모르겠어서 질문 드립니다ㅠㅠ
https://blog.nvisium.com/injecting-flask 이 링크 참고하여 변수들이 template context에 들어가게끔 template과 render_template_string도 수정하였고, 무식하게 특수문자는 모조리 없애버리는 방법도 시도하였습니다. memoAdd, memoUpdate 등 DB에 값을 넣는 부분에서도 모조리 특수문자를 없앴습니다.
그런데 SLA는 통과해도 계속 ssti 취약점 패치에 실패합니다ㅠㅠ 제가 무엇을 놓친 것인지, 잘못된 접근을 하고 있다면 어떻게 접근하면 좋을지 힌트 주시면 정말 감사하겠습니다..ㅠㅠ
#web
답변
1
연주
2023 Christmas CTF 참여
링크 내용대로 하면 안전하게 패치할 수 있습니다. 뭔가 잘못 읽거나 한 게 아닐까 싶어요!
[FAIL]
- SLA(7/7): SLA PASS
- VULN(3)
- Hard-coded Key
- SQL Injection
- Memo Update IDOR
질문에 대한 답을 알고 계신가요?
지식을 나누고 포인트를 획득해보세요.
답변하고 포인트 받기 지식을 나누고 포인트를 획득해보세요.
