這是今天的題目,是個網頁題。
我們先檢查網頁,看有沒有線索
看起來沒什麼東西,出於所有網站的根目錄都有可能存在的檔案,也許是一個公開但不一定常用的檔案。加上題目給的題示:
What part of the website could tell you where the creator doesn't want you to look?
我嘗試把/robots.txt加到後面,於是出現了這個頁面。
Disallow: /1bb4c.html
這部分代表不允許我們用爬蟲去抓這個頁面,於是我們把它加到url後面看會出現甚麼。
這邊則是沒出現結果
那我們把原本的/robot.txt替代掉,就出現答案了!
心得:這題讓我再次體會到,網頁安全的基本檢查邏輯。平常我們上網時,幾乎不會特別去注意像robots.txt這類的檔案,因為它原本只是用來告訴搜尋引擎不要去收錄哪些頁面。但在CTF題目裡,它反而變成一個容易藏線索的地方,因為這個檔案本來就是公開可見的,任何人都能直接打開。從解題過程我也學到,即使標示著禁止,並不等於有效保護檔案資訊。在真實世界裡如果真的有敏感資訊,從一開始就不應該放在公開目錄裡。寫完今天的題目讓我對網頁資訊安全有了更進一步的了解及認識,也讓我學到了更多解題的思維跟技巧。