Estaba jugando un CTF y me quedé atascado. Cuando se ve el código fuente a través del navegador web no se revela nada, pero cuando enviamos la solicitud a través de curl , se revela el directorio HIDDEN. ¿Cómo es posible? ¿Eso significa que ahora deberíamos verificar el código fuente usando curl también?
Los navegadores y curl deberían proporcionar el mismo código, a menos que el servidor inspeccione los encabezados (como para la cadena de agente de usuario) y envíe el código diferente a los diferentes clientes que se conectan.
Esto no es infrecuente cuando se intenta crear un sitio complejo que no funciona bien en navegadores antiguos. Pero en un CTF, es una forma sencilla de mostrar información completamente diferente a diferentes navegadores / clientes.
Lea otras preguntas en las etiquetas source-code curl