iT邦幫忙

第 12 屆 iThome 鐵人賽
DAY 13
0
Security

點錯遊戲的我也只好硬著頭皮上了 系列 第 13

[網頁漏洞] 小心客戶端的程式碼被看光

12th鐵人賽
1425 瀏覽

  • 分享至 

  • xImage
    •  

02. dont-use-client-side

Can you break into this super secure portal? https://2019shell1.picoctf.com/problem/21888/ (link) or http://2019shell1.picoctf.com:21888
你能破解這個超”安全”的入口嗎? 連結在此: https://2019shell1.picoctf.com/problem/21888/ (link) or http://2019shell1.picoctf.com:21888
https://ithelp.ithome.com.tw/upload/images/20200928/20103688MXLsEOmLkq.png

HINT:

How do you inspect web code on a browser?

WRITEUP:

看似有加上檢查(verify)的頁面,使用開發者工具查看原始碼卻能看見該功能(verify)的程式碼。拼湊後即可得知完整的 flag。
https://ithelp.ithome.com.tw/upload/images/20200928/20103688oNxIrylDs1.png

此題是在說明不要把驗証的步驟放在client 端,避免被使用者窺見。而本題中所使用的 javascript 是一個古老卻又強大到現今仍大量使用的程式語言,能夠創造各種與使用者的互動與特效。其中的魅力請參閱教學文字中的簡介JavaScript HTML DOM - Changing HTML

ANSWER:

picoCTF{no_clients_plz_56a8eb}
注意每個人不同


上一篇
[網頁漏洞] 瀏覽器內建的強大除錯工具
下一篇
[網頁漏洞] cookies 不只好吃又容易竄改
系列文
點錯遊戲的我也只好硬著頭皮上了 30
  1. 26
    [網頁漏洞] - 資料庫漏洞 - 世界上最好的語言
  2. 27
    [網頁漏洞] JavaScript - 修正修正圖檔
  3. 28
    [網頁漏洞] 資料庫漏洞 - 綿花糖花式吃法
  4. 29
    [網頁漏洞] - 資料庫漏洞 - 老調重彈
  5. 30
    完賽心得 & Web Exploit 通關心得
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22202
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙