XS-Leak 취약점 탐구 (3)

https://jorianwoltjer.com/blog/p/hacking/xs-leaking-flags-with-css-a-ctfd-0day

XS-Leaking flags with CSS: A CTFd 0day | Jorian Woltjer

https://github.com/CTFd/CTFd/releases/tag/3.7.1

Release 3.7.1 · CTFd/CTFd

https://www.youtube.com/watch?v=ubm5k5lC96I

 

내가 연구해보고자 하는 취약점을 CTFd에서 발견한 블로그를 원문으로 읽어보겠다. 블로그를 읽다가 인상적인 부분이나 몰랐던 점 등을 정리해보록 하겠다.

---

먼저 CTFd라는 플랫폼에 대해 잘 모르는 독자들을 위한 기본적인 CTFd 플랫폼에 관해 간략히 설명하겠다.

CTFd는 해킹 및 보안 교육용으로 널리 사용되는 Capture The Flag(CTF) 템플릿이고, 문제 출제자와 참가자가 웹을 통해 손쉽게 문제를 출제하고 풀이할 수 있도록 지원한다. 또한 플러그인 및 테마를 통해 기능 확장과 커스터마이징이 가능하고, 오픈소스로 제공되어, 자가 호스팅이 가능하며 교육기관 및 대회에서 많이 사용된다.