CTF 快速上手：PicoCTF 真題解析 (Web篇)

李華峰，信息安全顧問和自由撰稿人，FreeBuf 安全智庫指導專家顧問，長期從事網絡安全滲透測試方面的研究，在網絡安全部署、網絡攻擊與防禦以及社會工程學等方面有十分豐富的教學和實踐經驗。

第 1章 走進PicoCTF比賽 1

1.1 CTF賽事 1

1.2 PicoCTF比賽的特點 2

1.3 PicoCTF實用指南 3

1.3.1 註冊PicoCTF 4

1.3.2 PicoCTF的題目分類 5

1.3.3 PicoCTF的題目 6

1.3.4 PicoCTF的Linux答題環境 8

1.3.5 提交Flag 9

1.4 小結 10

第 2章 Web類題目的解題工具 12

2.1 Web應用程序的工作流程 12

2.2 瀏覽器 17

2.3 Curl 19

2.4 Burp Suite 21

2.5 CyberChef 23

2.6 AI問答工具 24

2.7 AI編程工具 28

2.8 小結 32

第3章 Web前端之HTML 33

3.1 HTML的發展 33

3.2 HTML是一種標記語言 34

3.3 HTML中的註釋 36

3.4 HTML中的標簽屬性 40

3.5 常見的HTML CTF出題點 41

3.6 小結 42

第4章 Web前端之CSS 44

4.1 CSS的發展 44

4.2 CSS的使用基礎 45

4.2.1 CSS規則 45

4.2.2 插入CSS 46

4.3 CSS相關題目 48

4.4 小結 52

第5章 Web前端之JavaScript 53

5.1 JavaScript的發展 53

5.2 JavaScript的使用基礎 54

5.3 WebAssembly應用基礎 60

5.4 WebAssembly的工作原理 64

5.5 常用的Base64編碼 70

5.6 小結 72

第6章 Web通信之HTTP 73

6.1 HTTP的發展 73

6.2 HTTP的消息結構 74

6.2.1 HTTP請求方法 75

6.2.2 HTTP請求頭部 79

6.3 小結 88

第7章 Web通信之Cookie 89

7.1 Cookie簡介 89

7.1.1 為什麼需要Cookie 90

7.1.2 Cookie的組成部分 90

7.1.3 Cookie的查看方式 91

7.2 Cookie在CTF比賽中的常見知識點 92

7.3 答題者在CTF比賽中的基本技能 93

7.3.1 查看當前頁面的Cookie 93

7.3.2 使用指定的Cookie訪問頁面 94

7.4 出題者會如何利用Cookie 95

7.4.1 考查答題者能否找出Cookie 96

7.4.2 考查答題者能否修改Cookie 97

7.5 歷年出現的Cookie相關題目 99

7.6 小結 118

第8章 Web部署之服務器目錄 119

8.1 Web服務器目錄 119

8.1.1 文件目錄 119

8.1.2 Web服務器目錄 120

8.1.3 URL與Web服務器目錄 121

8.1.4 URL中的相對路徑與絕對路徑 122

8.2 robots的原理與格式 125

8.3 小結 130

第9章 Web數據庫之SQL註入 132

9.1 關系型數據庫 132

9.2 結構化查詢語言（SQL） 133

9.3 SQL註入漏洞 134

9.4 PostgreSQL 155

9.5 其他SQL註入相關真題 158

9.6 小結 163

第 10章 Web數據處理之正則表達式 164

10.1 正則表達式的基本理論 164

10.2 正則表達式的實際應用 164

10.3 小結 168

第 11章 Web認證之繞過技術 169

11.1 跨域認證 169

11.2 JWT的具體實現 170

11.3 小結 188