前陣子忙著旅遊,沒什麼時間在打 CTF,就算有打也有點懶得寫 writeup,導致上一篇 writeup 已經是 3 月份的時候了。覺得這樣斷掉其實有點可惜,就趕快再寫一篇補回來。
標題提到的這三個 CTF,我只有打 GoogleCTF 2023,其他兩場都只有稍微看一下題目而已,所以這篇也只是對題目以及解法做個筆記。
關鍵字列表:
- Flask 跟 PHP 解析 POST data 的順序不一致
- iframe csp 阻止部分 script 載入
- HEAD 繞 CSRF
- location.ancestorOrigins 拿 parent origin
- iframe 改 location 不會改到 src
- recaptcha URL 的 Angular CSP bypass gadget
- document.execCommand(‘undo’); 還原 input
- X-HTTP-Method-Override
- HTML 與 XHTML 的 parser 差異