Information Disclosure: Утечка через backup-файлы

# Утечка через backup-файлы ## Сценарий Перед вами Flask-приложение — интернет-магазин IT-мерча. После очередного релиза в production случайно попали служебные файлы: разработчик копировал дамп БД и конфигурацию в директорию для статики, чтобы быстро забрать их через браузер, и забыл удалить. Конфиденциальные данные приложения — пароли, секретные ключи и сам CTF-флаг — оказались доступны без какой-либо авторизации. Ваша задача — найти эти файлы и извлечь флаг. ## Цели 1. Проведите разведку приложения и найдите публично доступные служебные файлы. 2. Извлеките из них CTF-флаг. ## Подсказка по технике Найти такие файлы помогают стандартные механизмы веб-приложения, которые администраторы часто настраивают на ранних этапах развёртывания и забывают пересмотреть после первого инцидента. ## Данные | Параметр | Значение | |----------|----------| | Обычный пользователь | `demo` / `demo` (для проверки штатного функционала, но для этой атаки логин не требуется) |