仅供学习参考，禁止用于其他非法途径

WEB-1

按F12查看源码

WEB-2

js前台拦截 === 无效操作

WEB-3

没思路的时候抓个包看看，可能会有意外收获

WEB-4

总有人把后台地址写入robots，帮黑阔大佬们引路。

WEB-5

phps源码泄露有时候能帮上忙

WEB-6

解压源码到当前目录，测试正常，收工

WEB-7

版本控制很重要，但不要部署到生产环境更重要。

WEB-8

版本控制很重要，但不要部署到生产环境更重要。

WEB-9

发现网页有个错别字？赶紧在生产环境vim改下，不好，死机了

WEB-10

cookie 只是一块饼干，不能存放任何隐私数据

WEB-11

域名其实也可以隐藏信息，比如ctfshow.com 就隐藏了一条信息

WEB-12

有时候网站上的公开信息，就是管理员常用密码admin&372619038

WEB-13

技术文档里面不要出现敏感信息，部署到生产环境后及时修改默认密码

WEB-14

有时候源码里面就能不经意间泄露重要(editor)的信息,默认配置害死人

WEB-15

公开的信息比如邮箱，可能造成信息泄露，产生严重后果

WEB-16

对于测试用的探针，使用完毕后要及时删除，可能会造成信息泄露

WEB-17

透过重重缓存，查找到ctfer.com的真实IP，提交
flag{IP地址}

WEB-18

不要着急，休息，休息一会儿，玩101分给你flag

WEB-19

密钥什么的，就不要放在前端了

WEB-20

mdb文件是早期asp+access构架的数据库文件，文件泄露相当于数据库被脱裤了。
flag{ctfshow_old_database}