Question

我正在寻找可以在json文件上找到此漏洞的人。

这是我正在做的挑战。那样太好了，因为我不知道json劫持

// Find the security vulnerability and exploit

let express = require('express');
let fs = require('fs');
let app = express();

let password = process.env.PASSWORD;

if ( !/^[a-z]{8,20}$/.test(password) ) {
    console.log("Plese setup your password");
    process.exit(1);
}

app.use((req, res, next) => {
    let start = process.hrtime()[1];
    res.respond = (data) => {
        res.contentType('text/plain;charset=utf8');
        res.header('X-ProcessingTime', process.hrtime()[1] - start);
        res.end(data);
    };
    next()
});

app.get('/', (req, res) => {
  fs.readFile('index.js', "utf8", (err, data) => {
    res.respond(data);
  });
});

app.get('/info', (req, res) => {
    if ( req.query.password == password ) {
        res.respond(process.env.INFO);
    } else {
        res.respond("Password Incorrect");
    }
});



app.listen(3000, () => {
  console.log('server started');
})

我希望收到一些消息或类似的内容。

如果您找到答复！

JSON漏洞

0 个答案: