iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 13
0
Security

點錯遊戲的我也只好硬著頭皮上了 系列 第 13

[網頁漏洞] 小心客戶端的程式碼被看光

  • 分享至 

  • xImage
  •  

02. dont-use-client-side

Can you break into this super secure portal? https://2019shell1.picoctf.com/problem/21888/ (link) or http://2019shell1.picoctf.com:21888
你能破解這個超”安全”的入口嗎? 連結在此: https://2019shell1.picoctf.com/problem/21888/ (link) or http://2019shell1.picoctf.com:21888
https://ithelp.ithome.com.tw/upload/images/20200928/20103688MXLsEOmLkq.png

HINT:

How do you inspect web code on a browser?

WRITEUP:

看似有加上檢查(verify)的頁面,使用開發者工具查看原始碼卻能看見該功能(verify)的程式碼。拼湊後即可得知完整的 flag。
https://ithelp.ithome.com.tw/upload/images/20200928/20103688oNxIrylDs1.png

此題是在說明不要把驗証的步驟放在client 端,避免被使用者窺見。而本題中所使用的 javascript 是一個古老卻又強大到現今仍大量使用的程式語言,能夠創造各種與使用者的互動與特效。其中的魅力請參閱教學文字中的簡介JavaScript HTML DOM - Changing HTML

ANSWER:

picoCTF{no_clients_plz_56a8eb}
注意每個人不同


上一篇
[網頁漏洞] 瀏覽器內建的強大除錯工具
下一篇
[網頁漏洞] cookies 不只好吃又容易竄改
系列文
點錯遊戲的我也只好硬著頭皮上了 30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言