Jscalc

• Catégorie : Web (Node.js)
• Difficulté : Facile

Résumé

Petit challenge Node.js dans lequel une expression JavaScript peut lire /flag.txt si elle est évaluée côté serveur.

Observations

Snippet trouvé :

require('fs').readFileSync('/flag.txt').toString();

Approche

• Rechercher des vecteurs d'injection (eval, Function, templates) permettant d'exécuter du code côté serveur.
• Tester les endpoints qui évaluent des expressions ou des templates dynamiques.

Indices

• Rechercher des routes ou des paramètres utilisateurs passés à eval/Function.

Références

• Documentation Node.js : module fs.