这个系列是web安全。


level 0 :程序员的“好”习惯,代码随详细的注释。

        解答:view source 注释里面



level 1 :JavaScript右键限制

        解答:从菜单view source,在注释里面。也可以使用一些浏览器提供的解除右键限制。或者干脆禁用JavaScript。



level 2 :列目录漏洞

       解答:view source 多了一个图片,查看图片路径,/file/可以列目录,在users.txt里面



level 3 :路径泄露及列目录漏洞

       解答:view source没有任何提示,找找robots.txt,发现隐藏路径,可以列目录,在users.txt里面



level 4 :Http报头修改

       解答:根据提示,用fiddler更改Referer字段。




level 5 :Cookie登陆

       解答:Cookie里面多了个loggedin=0,改成loggedin=1。



level 6 :源代码阅读理解

        解答:网页里面有个view source,里面一段代码比较密码的,密码保存在includes/secret.inc。输入密码就得到key。



level 7 :文件包含漏洞

         解答:/etc/natas_webpass/natas8



level 8 :源代码阅读理解

          解答:网页里面有个view source,里面一段简单的密码处理函数,根据保存的比对值进行反处理出密码,输入就得到key。



level 9 :linux一次执行多个命令

    解答:#这题的正解是使用 ; 或 && 进行一行多命令执行,可以直接执行 cat /etc/natas_webpass/natas10


          

level 10 :php小trick——passthru

    解答:.* /etc/natas_webpass/natas11       

    #这题增加了对用户输入的过滤 ; 和 & 就是阻止一行多命令执行。

    #php的passthru函数执行错误的命令时会返回命令的内容,而这个命令内容就是通过grep从文件获取的。

    #grep命令支持空格分割的多文件,脚本没有对输入过滤,所以可以把密码文件名传过去。