iT邦幫忙

2025 iThome 鐵人賽

DAY 29
0
Security

30 天闖關 picoCTF系列 第 29

[2025鐵人賽Day29]where are the robots

  • 分享至 

  • xImage
  •  

這是今天的題目,是個網頁題。
https://ithelp.ithome.com.tw/upload/images/20251006/20178623xzi4cMp1DN.png

我們先檢查網頁,看有沒有線索
https://ithelp.ithome.com.tw/upload/images/20251006/20178623oz7RGXVQmv.png

看起來沒什麼東西,出於所有網站的根目錄都有可能存在的檔案,也許是一個公開但不一定常用的檔案。加上題目給的題示:
What part of the website could tell you where the creator doesn't want you to look?
我嘗試把/robots.txt加到後面,於是出現了這個頁面。
https://ithelp.ithome.com.tw/upload/images/20251006/20178623WkYxcz5gLk.png

Disallow: /1bb4c.html

這部分代表不允許我們用爬蟲去抓這個頁面,於是我們把它加到url後面看會出現甚麼。
https://ithelp.ithome.com.tw/upload/images/20251006/20178623AkjyRe2qRS.png

這邊則是沒出現結果
https://ithelp.ithome.com.tw/upload/images/20251006/20178623ZvFfUroLoY.png

那我們把原本的/robot.txt替代掉,就出現答案了!
https://ithelp.ithome.com.tw/upload/images/20251006/20178623ib324yKIDx.png

心得:這題讓我再次體會到,網頁安全的基本檢查邏輯。平常我們上網時,幾乎不會特別去注意像robots.txt這類的檔案,因為它原本只是用來告訴搜尋引擎不要去收錄哪些頁面。但在CTF題目裡,它反而變成一個容易藏線索的地方,因為這個檔案本來就是公開可見的,任何人都能直接打開。從解題過程我也學到,即使標示著禁止,並不等於有效保護檔案資訊。在真實世界裡如果真的有敏感資訊,從一開始就不應該放在公開目錄裡。寫完今天的題目讓我對網頁資訊安全有了更進一步的了解及認識,也讓我學到了更多解題的思維跟技巧。


上一篇
[2025鐵人賽Day28]Glitch Cat
系列文
30 天闖關 picoCTF29
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言