Web - Client Web - Client

Apprenez à exploiter les failles des applications web pour impacter leurs utilisateurs ou contourner des mécanismes de sécurité côté client.

Cette série d’épreuves vous confronte à l’utilisation de langage de script/programmation côté client. Ce sont principalement des scripts à analyser et à comprendre, pour en trouver des vulnérabilités exploitables. Cela permet aussi de se familiariser avec ces langages, dont l’utilisation est très répandue sur Internet.

Prérequis :
 Maitriser un langage de script "web côté client", par exemple javascript ;
 Maitriser le fonctionnement d’un débogueur, par exemple firebug / console javascript.

challenges 33 Challenges

Résultats Nom Validations Nombre de points  Explications sur les scores Difficulté  Difficulté Auteur Note  Notation Solution Date
pas_valide XS Leaks 1% 7 75 Mizu 2 8 avril 2022
pas_valide DOM Clobbering 1% 48 60 Mizu 2 8 avril 2022
pas_valide CSP Bypass - Nonce 1% 151 50 Ruulian 5 8 avril 2022
pas_valide CSS - Exfiltration 1% 174 50 Forgi 4 8 avril 2022
pas_valide Web Socket - 0 protection 1% 462 35 Worty 6 22 octobre 2021
pas_valide CSP Bypass - Dangling markup 2 1% 550 50 CanardMandarin 5 27 octobre 2020
pas_valide XSS - DOM Based 1% 611 85 vic 10 24 décembre 2016
pas_valide Javascript - Obfuscation 5 1% 623 70 Hel0ck 9 31 décembre 2010
pas_valide XSS DOM Based - Filters Bypass 1% 624 50 Ruulian 10 12 août 2021
pas_valide XSS DOM Based - AngularJS 1% 665 40 Ruulian 7 12 août 2021
pas_valide CSP Bypass - JSONP 1% 731 45 CanardMandarin 9 27 octobre 2020
pas_valide XSS DOM Based - Eval 1% 761 40 Ruulian 10 12 août 2021
pas_valide CSP Bypass - Dangling markup 1% 862 45 CanardMandarin 2 27 octobre 2020
pas_valide XSS - Stored - contournement de filtres 1% 1065 80 Arod 10 2 janvier 2016
pas_valide HTTP Response Splitting 1% 1746 70 Arod 6 7 novembre 2013
pas_valide XSS DOM Based - Introduction 1% 1856 35 Ruulian 8 12 août 2021
pas_valide CSP Bypass - Inline code 1% 2405 35 CanardMandarin 10 27 octobre 2020
pas_valide XSS - Volatile 2% 4096 45 pickle 8 16 mars 2018
pas_valide Flash - Authentification 3% 5280 40 koma 8 18 juin 2012
pas_valide Javascript - Obfuscation 4 3% 5412 50 aaSSfxxx 9 18 juillet 2011
pas_valide CSRF - contournement de jeton 3% 5535 45 sambecks 10 18 février 2016
pas_valide XSS - Stockée 2 3% 6499 50 g0uZ 5 4 mars 2012
pas_valide CSRF - 0 protection 6% 15533 35 sambecks 7 16 février 2016
pas_valide Javascript - Webpack 6% 15560 15 CanardMandarin 5 11 août 2020
pas_valide XSS - Stockée 1 11% 27933 30 g0uZ 10 3 mars 2012
pas_valide Javascript - Obfuscation 3 19% 47569 30 Hel0ck 10 27 décembre 2010
pas_valide Javascript - Native code 24% 61400 15 g0uZ 11 13 mars 2011
pas_valide Javascript - Obfuscation 2 33% 85016 10 Hel0ck 10 25 décembre 2010
pas_valide Javascript - Obfuscation 1 39% 99026 10 Hel0ck 10 25 décembre 2010
pas_valide Javascript - Authentification 2 40% 103784 10 na5sim 2 20 août 2010
pas_valide HTML - boutons désactivés 42% 106781 5 Final 10 16 juillet 2017
pas_valide Javascript - Source 44% 114001 5 g0uZ 4 5 février 2006
pas_valide Javascript - Authentification 47% 119967 5 g0uZ 6 8 octobre 2006

Résultats des challenges Résultats des challenges

Pseudonyme Epreuve Langue Date
Helluwaboss Web - Client  Javascript - Native code ru 25 juin 2022 à 10:46
Helluwaboss Web - Client  Javascript - Obfuscation 2 ru 25 juin 2022 à 10:43
Anonyme-0012678 Web - Client  HTML - boutons désactivés fr 25 juin 2022 à 10:41
cialulz Web - Client  Javascript - Obfuscation 1 en 25 juin 2022 à 10:03
k4ndar3c Web - Client  DOM Clobbering fr 25 juin 2022 à 09:42
Lionnel Web - Client  HTML - boutons désactivés fr 25 juin 2022 à 08:57
oreosec Web - Client  XSS DOM Based - AngularJS en 25 juin 2022 à 08:19
Cristóbal Quijanes Urbina Web - Client  XSS - Stored 1 es 25 juin 2022 à 07:33
blyndigo Web - Client  Javascript - Authentification fr 25 juin 2022 à 05:02
blyndigo Web - Client  HTML - boutons désactivés fr 25 juin 2022 à 05:00