susctf2022部分题目复现 3月 1, 2022 跟着大佬们的wp复现了一波,学到了很多东西。 Webfxxkcors题目存在一个可把用户提升为admin权限的接口,但是需要admin才有该权限。 很容易想到CSRF,但是进一步发现提升权限的接口接受json类型数据: 传输json数据只想到可以使用Ajax(XMLHttpRequest),测试过程中发现Ajax ...... Readmore pwn csrf cors xs-leaks