Web安全在ctf比赛中题目分量很大
Web安全题目类型可大致分为:
1.源码获取,扫描,弱密码爆破,js绕过
2.Php代码审计,弱类型比较
3.文件上传,文件包含
4.序列化与反序列化
5.Sql注入
6.Xss跨站脚本攻击
今天学的东西很多 但是只理解掌握了第一类web题 所以这篇博客就记录一下学到的
Web就是万维网 在做web题目之前肯定需要了解掌握一些web基础知识 下边有一些web包含的几个简单协议
HTTP协议
请求报文内容
响应报文内容
Robots协议
cookie协议
xff协议
上边应该做题经常用到的几个简单协议。
robots协议题目应用
攻防世界robots:
robots.txt文件是一个文本文件,使用任何一个常见的文本编辑器,比如Windows系统自带的Notepad,就可以创建和编辑它robots.txt是一个协议,而不是一个命令。
robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。
robots.txt文件告诉蜘蛛程序在服务器上什么文件是可以被查看的。
所以这个题 在URL后加上robots.txt
d
得到有用信息 在URL后加上f1ag_1s_h3re.php
得到flag
cookie题目
攻防世界cookie
用burp抓包获取一下信息 cookie告诉我们需要访问cookie.php
访问一下cookie.php 得到有用信息 需要在response中找到flag
如同 得到flag
xff-refer题目
攻防世界,xff-refer
联想到用burp抓包然后添加xff 添加语句如下
X-Forwarded-For:123.123.123.123
go一下发现必须来自谷歌浏览器 添加来的路径
referer:https://www.google.com
go一下得到flag
补充一下源码获取,扫描,弱密码爆破的基础知识
密码爆破之前好像写过啦
未完待续。。。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
