【愚公系列】2023年06月 Bugku-Web（GET）

前言

源码审计是指通过对软件或系统源代码的分析和检查，发现其中可能存在的漏洞、安全弱点等问题，并提出修复建议和措施的过程。源码审计的作用在于发现并解决软件开发和运维过程中存在的安全问题，保障系统的安全性、稳定性和可靠性。

在网络安全领域，源码审计是一项非常重要的工作。通过对源代码的深入分析，有可能发现黑客可以利用的漏洞，同时也能够帮助开发团队和运维人员更好地理解软件和系统的工作原理，发现潜在的问题并进行修正。如果某个软件被大量使用，那么源码审计是必不可少的一步，以确保安全和可靠性。

以下是一些源码审计的相关案例：

1. OpenSSL漏洞事件：2014年，有人发现了OpenSSL库中的一个漏洞，这个漏洞可能会导致黑客获取用户的私人信息。随后，安全研究人员对该库进行了源码审计，在发现漏洞后提交了一个修复的补丁。
2. Apache Struts 2漏洞事件：2017年，Apache Struts 2框架中发现了一个严重的漏洞。黑客可以通过利用此漏洞实现远程命令执行，导致系统遭到攻击。安全研究人员通过对源代码进行审计，成功地发现了漏洞，并提供了针对性的修复方案。
3. 未授权访问漏洞事件：有些应用程序的源代码可能存在未授权访问漏洞。攻击者可以利用这些漏洞，绕过登录认证从而访问敏感信息。安全研究人员可以通过对源代码的审计，发现并修复这些漏洞。

HTTP GET请求是一种HTTP请求方法，用于从服务器获取资源，如文档、图像、音频文件等。它是一种无状态请求，它向Web服务器发送一个请求，以获取指定资源的副本，服务器将该资源作为HTTP响应发送回客户端。GET请求通过URL传递参数，这些参数可用于指定请求的资源，例如：http://www.example.com/index.html?page=1。其中，“page=1”是一个参数，表示请求的资源的页面号为1。GET请求是最常用的HTTP请求方法之一，用于获取静态和动态内容。

HTTP的GET请求报文格式如下：

GET /path/to/resource HTTP/1.1         // 请求行，包括请求方法、请求URI和HTTP协议版本 
Host: example.com                     // 请求头，指定服务器的主机名，必须包含在HTTP/1.1协议中的所有请求头之中
User-Agent: Mozilla/5.0              // 请求头，指定客户端使用的浏览器或其他应用程序
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8   // 请求头，指定客户端可以接收的响应格式
Connection: keep-alive               // 请求头，指定客户端与服务器之间的连接状态，keep-alive表示要保持长连接

其中，请求行包括了请求方法、请求URI和HTTP协议版本，格式为METHOD URI HTTP_VERSION，如GET /path/to/resource HTTP/1.1。请求头包括了多个键值对，以冒号分隔，每个键值对占一行，以空行为结束标志。在GET请求中，请求体为空，因为请求参数都包含在URI中。

一、GET

1.题目

2.答题

打开题目得到

源码审计需要加what参数且值等于flag

http://114.67.175.224:19450/?what=flag

得到flag：flag{cf7379480f6ac10fdbc7859fef43c291}