#flask

2 篇文章

CIT CTF 2026 · Debug Disaster：调试页带出的 .env 路由

Flask debug=True 暴露的不只是 traceback，把 .env 原文吐出来的路由也跟着一起进来了。

2026/04/26 CTFcit-ctf-2026web

CIT CTF 2026 · A Massive Problem：dict.update 撑起的越权

题目名直接拼出 Mass Assignment。register 时 record.update(incoming) 让请求体里的 role 字段把服务端写死的默认值盖掉。

2026/04/26 CTFcit-ctf-2026web