WEB-1

按F12查看源码

web-1.png

WEB-2

js前台拦截 === 无效操作

web-2.png

WEB-3

没思路的时候抓个包看看,可能会有意外收获

web-3.png

WEB-4

总有人把后台地址写入robots,帮黑阔大佬们引路。

web-4.png

WEB-5

phps源码泄露有时候能帮上忙

web-5.png

WEB-6

解压源码到当前目录,测试正常,收工

web-6.png

WEB-7

版本控制很重要,但不要部署到生产环境更重要。

web-7.png

WEB-8

版本控制很重要,但不要部署到生产环境更重要。

web-8.png

WEB-9

发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了

web-9.png

WEB-10

cookie 只是一块饼干,不能存放任何隐私数据

web-10.png

WEB-11

域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息

web-11.png

WEB-12

有时候网站上的公开信息,就是管理员常用密码admin&372619038

web-12.png

WEB-13

技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码

web-13.png

WEB-14

有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人

web-14.png

WEB-15

公开的信息比如邮箱,可能造成信息泄露,产生严重后果

web-15.png

WEB-16

对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露

web-16.png

WEB-17

透过重重缓存,查找到ctfer.com的真实IP,提交
flag{IP地址}

web-17.png

WEB-18

不要着急,休息,休息一会儿,玩101分给你flag

web-18.png

WEB-19

密钥什么的,就不要放在前端了

web-19.png

WEB-20

mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。

flag{ctfshow_old_database}