Monday, May 4, 2009

[ISCC2009]关于脚本关的综合评价

刚才算是把脚步的10道题目都做完了。都是小猴子做的,不错,整体质量能给到80分左右,如果考虑到他才大二那甚至可以更高,部分题目略有瑕疵,有几道还是比较出彩的。

这次的10道题,考察了注入、上传、CSRF、XSS等。
就注入而言,题目没有去年难,因为去年的前几道注入的题目,纯粹是28以往搞站的经验积累,有些相对很偏了;这次的相对中规中矩,进行了常规过滤。这些基本注入的题目,没必要用工具,如果能对sql server的一些标准sql的特性稍微有些了解,那就很容易出来。

LFI,这题不错,只是纯粹靠人的直觉了,毕竟,有时候要LFI,你还是得猜到文件名是什么。

升级版的注入,有道题特别出彩,不过相对处理上略微有点不合理,但是效果还是很不错的。

最后的CSRF、XSS,其实从我角度来说,我都认为是csrf,而28偏向于认为这是一道csrf一道xss+注入(sql injection in XSS XD)
我都是用csrf的手段完成的。耗的较多的时间可能是由于经验主义带来的误导。然后对过滤规则的绕过又花了比较多时间。不过整体这两题还是很棒的,虽然从真正的入侵中,暂时的应用价值不大,毕竟没有这么简单的站用来csrf,但是对于初学者而言,这是一个很好的csrf入门教材。

1 comment: