Why

Web-exploits.

Использован python3.5, Flask

Для запуска стоит использовать команду:

source venv/bin/activate

flask run --host=0.0.0.0

При установленном python3 в системе.

Версия с эксплоитами

Missing function access control: К страничке http://IP:5000/explore имеют доступ все, а не только зарегистрированные пользователи

SQL injection: При изменении имени пользователя отсутствует проверка на возможную SQL команду, Выполнить в поле username http://192.168.1.50:5000/edit_profile test3', password_hash = 'md5$xJVQFOoN$3f3ea77f1cfbb0d18d4201393b205c50' where username = 'test3'-- Поменяет пароль пользователя test3 на 123

XSS: При заходе на страничку http://IP:5000/explore срабатывает JS-скрипт ALERT()

Name		Name	Last commit message	Last commit date
Latest commit History 12 Commits
__pycache__		__pycache__
app		app
migrations		migrations
venv		venv
.flaskenv		.flaskenv
README.md		README.md
app.db		app.db
config.py		config.py
microblog.py		microblog.py
requirements.txt		requirements.txt

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

Why

About

Releases

Packages

Languages

Dante4/Why

Folders and files

Latest commit

History

Repository files navigation

Why

About

Resources

Stars

Watchers

Forks

Releases

Packages 0

Languages

Packages