CPCTF 2025 参加記
印象にのこった問題
Chase the flag!
タイトルの略がCTFになってて面白い
フラグを追いかけるっていうのがあまり見ない気がして面白い
correctionless
QRazyboxっていう便利なツールがあるの初めて知った
Blend Script
deno --allow-envをつけないと環境変数にアクセスできないはずだが、--allow-readだけでできてしまうという問題
Deno.readFileとかで/proc/*/environが見れちゃう問題(CVE-2024-34346)はv1.43.1で修正済み
しかし、v2.1.9まではfetch("file:///proc/*/environ")で同様のことができてしまう