## 先看什么,后看什么

CTF Web 题最怕一上来就开始乱 fuzz。一个更稳的方式,是先用几分钟把能观察到的上下文全部整理出来,再决定是否进 Burp、目录扫描或源码审计。

我的开局顺序

  1. 先看响应头、Cookie、状态码和重定向。
  2. 再看前端资源,重点关注注释、接口路径、调试脚本。
  3. 然后确认鉴权方式,是 Session、JWT 还是前端假登录。
  4. 最后再开始目录探测和参数测试。

三个高频线索

  • 页面里有未删除的调试信息。
  • 资源文件命名暴露了框架或版本。
  • 接口错误提示过于具体,能直接推断字段名。

复盘建议

每次做完题目,最好补一份自己的侦察笔记。长期积累后,你会形成一套非常顺手的观察模板,能显著缩短起手时间。