и вставляется правда как есть

но воспринимается как текст

возможно escape

можно ссылки в чат кидать, я хз)

покури Escaping special characters

лан, пойду искать, где эскейпятся, мб пропустил
просто я уже подумал, мб тут теги какие-то не такие, что не сработает

если это flask (jinja) то там по умолчанию html escaping

Жинжа автоматически эскейпит данные

нда
видимо это тот случай
спасибо!

получается все что выводится как {{vallue}}  в flask (jinja), будет заэскейпено?

Там механизм такой, что подстановка происходит не на лету. Все что ты вставляешь внутрь будет воспринято как текст. Попробуй потестировать на наличие ssti.

https://github.com/swisskyrepo/PayloadsAllTheThings/tree/master/Server%20Side%20Template%20Injection

ssti тестил, не сработали

спасибо за инфу

💡 Воскресным днём будет сходка не по следующей теме на кучу, а в виде воркшопа. Сядем вместе разберём задачи этой недели, попрактикуем эти же атаки на кучу на новых заданиях и хорошенько разберёмся с непонятными моментами.

Новые атаки, которые будут требовать ещё более филигранного понимания работы аллокатора, рассмотрим в следующий раз.

Когда: воскресенье 14 марта 13:37
Место: Университет ИТМО, Песочная набережная 14, аудитория 308
С собой паспорт/пропуск, ноут и еда.

— vk.com/wall-114366489_2034 —

Народ, кто знает что за шифр?

Выглядит как rot47

xxxx[xxxxxxxxxxxxxx]
[ ]
{ }

ascii разница

Это задание с идущего стфа

da)

ето бан