网络安全CTF之Web基础

前言

Web类的考试，在CTF比赛中十分常见。本人从计算机专业转网络安全发展，属于半路出家，一知半解，如有总结不到位的地方，欢迎交流分享。

训练平台

攻防世界Web

正文

Web基础中，常见的考点如下：

1、源代码隐藏

打开网页，显示 FLAG is not here。

F12查看源代码，取得flag

2、GET和POST传参

GET和POST是 HTTP请求的两种基本方法。 主要的考点是GET参数通过URL传递，POST放在Request body中。
打开网页，要求如下：

通过在网页url后添加如下代码，完成要求

?a=1

这个是时候又要求b=2传参，通过在火狐调试台上传参，，完成要求

最后取得key

3、robots协议

robots协议用于防爬虫， 考点就是看你能不能找到该日志文档所在的位置。
如下图

把php贴到url中，通过get请求拿到flag

4、备份文件

考点是 源码泄露 ¹
网站运维人员都会备份，常见的备份格式有很多。
基础题常考的格式文件就是.bak

5、Cookie

缓存，F12调试，会有意外收获。
基础题考察你细不细致
从网络请求中发现请求cookie.php

然后，我们通过前面讲的 get传参到URL中，观察响应头request拿到flag。

参考文献

---

1. 常见源码泄露 ↩︎