仅供学习参考,禁止用于其他非法途径
WEB-1
按F12查看源码
WEB-2
js前台拦截 === 无效操作
WEB-3
没思路的时候抓个包看看,可能会有意外收获
WEB-4
总有人把后台地址写入robots,帮黑阔大佬们引路。
WEB-5
phps源码泄露有时候能帮上忙
WEB-6
解压源码到当前目录,测试正常,收工
WEB-7
版本控制很重要,但不要部署到生产环境更重要。
WEB-8
版本控制很重要,但不要部署到生产环境更重要。
WEB-9
发现网页有个错别字?赶紧在生产环境vim改下,不好,死机了
WEB-10
cookie 只是一块饼干,不能存放任何隐私数据
WEB-11
域名其实也可以隐藏信息,比如ctfshow.com 就隐藏了一条信息
WEB-12
有时候网站上的公开信息,就是管理员常用密码admin&372619038
WEB-13
技术文档里面不要出现敏感信息,部署到生产环境后及时修改默认密码
WEB-14
有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人
WEB-15
公开的信息比如邮箱,可能造成信息泄露,产生严重后果
WEB-16
对于测试用的探针,使用完毕后要及时删除,可能会造成信息泄露
WEB-17
透过重重缓存,查找到ctfer.com的真实IP,提交
flag{IP地址}
WEB-18
不要着急,休息,休息一会儿,玩101分给你flag
WEB-19
密钥什么的,就不要放在前端了
WEB-20
mdb文件是早期asp+access构架的数据库文件,文件泄露相当于数据库被脱裤了。
flag{ctfshow_old_database}