Web安全入门学习--攻防世界web安全新手区过关心得

这几天也是废了小小功夫，完成了这十道题目。

这十道题目说难不难，说简单对刚入门的同学来说也没有那么简单，但是做完可以对web有最初步的了解

下面开始解题

1.view_source

作为第一题，这题还是蛮友好的，按一下f12点开控制台就能看到答案放在网页元素中

2.robots

当时做的时候按下一题好像是随机跳的？无所谓了，第二题主要是讲的这个robots协议

百度百科：robots是网站跟爬虫间的协议，用简单直接的txt格式文本方式告诉对应的爬虫被允许的权限，也就是说robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。当一个搜索蜘蛛访问一个站点时，它会首先检查该站点根目录下是否存在robots.txt，如果存在，搜索机器人就会按照该文件中的内容来确定访问的范围；如果该文件不存在，所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

简单的阅读一下，我们可以发现这是一个靠自觉的协议，网站持有者告诉爬虫者，这些你可以爬，这些你不行，如果你爬了，就ban你，马上叫人查你水表，差不多这个意思

查看方式为根目录下的robots.txt，说来有趣，上了这么多年网，第一次知道可以直接向网站请求数据。

这题需要再网址后缀上加入/robots.txt

这样就可以查看到他给出的不可访问部分和允许访问部分

这题把答案放在了这个 不准访问！部分，但是我们偏偏就要访问！

光速用同样的方法访问

顺利的进去了，这就是大人啊 ：-）

码字好累，第一篇博客就到此为止吧~ 剩下的有空再补一补

----------------更新-------------------------

3.backup

这题问index.php文件的备份文件名，常见的备份文件后缀名有：“.git” 、“.svn”、“ .swp”“.~”、“.bak”、“.bash_history”、“.bkf”，我们依次加在index.php的后面试试

即访问index.php.backupname

发现这题使用bak后缀

访问

下载到了一个文件

用文本编辑器打开，看到flag