Web - Client Web - Client

Apprenez à exploiter les failles des applications web pour impacter leurs utilisateurs ou contourner des mécanismes de sécurité côté client.

Cette série d’épreuves vous confronte à l’utilisation de langage de script/programmation côté client. Ce sont principalement des scripts à analyser et à comprendre, pour en trouver des vulnérabilités exploitables. Cela permet aussi de se familiariser avec ces langages, dont l’utilisation est très répandue sur Internet.

Prérequis :
 Maitriser un langage de script "web côté client", par exemple javascript ;
 Maitriser le fonctionnement d’un débogueur, par exemple firebug / console javascript.

challenges 41 Challenges

Résultats Nom Validations Nombre de points   Explications sur les scores Difficulté  Difficulté Auteur Note  Notation Solution Date
pas_valide HTML - boutons désactivés 44% 143697 5 Final 10 16 juillet 2017
pas_valide Javascript - Source 44% 145068 5 g0uZ 4 5 février 2006
pas_valide Javascript - Authentification 47% 153199 5 g0uZ 7 8 octobre 2006
pas_valide Javascript - Authentification 2 41% 133568 10 na5sim 3 20 août 2010
pas_valide Javascript - Obfuscation 1 39% 126737 10 Hel0ck 10 25 décembre 2010
pas_valide Javascript - Obfuscation 2 34% 109460 10 Hel0ck 10 25 décembre 2010
pas_valide Javascript - Native code 25% 81364 15 g0uZ 11 13 mars 2011
pas_valide Javascript - Webpack 8% 24072 15 CanardMandarin 7 11 août 2020
pas_valide Javascript - Obfuscation 3 19% 60297 30 Hel0ck 10 27 décembre 2010
pas_valide XSS - Stockée 1 12% 37463 30 g0uZ 10 3 mars 2012
pas_valide Web Socket - 0 protection 1% 810 35 Worty 6 22 octobre 2021
pas_valide XSS DOM Based - Introduction 2% 5065 35 Ruulian 8 12 août 2021
pas_valide AST - Deobfuscation 1% 937 35 mhoste , Lxt3h 10 27 juin 2023
pas_valide CSRF - 0 protection 6% 19461 35 sambecks 7 16 février 2016
pas_valide CSP Bypass - Nonce 2 1% 289 35 Ruulian 1 27 juin 2023
pas_valide CSP Bypass - Inline code 2% 4917 35 CanardMandarin 10 27 octobre 2020
pas_valide Flash - Authentification 2% 6179 40 koma 8 18 juin 2012
pas_valide XSS DOM Based - AngularJS 1% 2136 40 Ruulian 8 12 août 2021
pas_valide XSS DOM Based - Eval 1% 2351 40 Ruulian 10 12 août 2021
pas_valide XSS - Volatile 2% 5740 45 pickle 8 16 mars 2018
pas_valide CSP Bypass - JSONP 1% 1239 45 CanardMandarin 10 27 octobre 2020
pas_valide CSP Bypass - Dangling markup 1% 1541 45 CanardMandarin 2 27 octobre 2020
pas_valide CSRF - contournement de jeton 3% 6909 45 sambecks 10 18 février 2016
pas_valide CSP Bypass - Dangling markup 2 1% 1244 50 CanardMandarin 5 27 octobre 2020
pas_valide CSP Bypass - Nonce 1% 766 50 Ruulian 10 8 avril 2022
pas_valide CSS - Exfiltration 1% 531 50 Forgi , gwel 8 8 avril 2022
pas_valide Javascript - Obfuscation 4 2% 6488 50 aaSSfxxx 9 18 juillet 2011
pas_valide Relative Path Overwrite 1% 94 50 Mizu 2 28 juillet 2023
pas_valide XSS - Stockée 2 3% 8654 50 g0uZ 5 4 mars 2012
pas_valide XSS DOM Based - Filters Bypass 1% 1229 50 Ruulian 10 12 août 2021
pas_valide Self XSS - DOM Secrets 1% 178 55 Mizu 2 28 juillet 2023
pas_valide Self XSS - Race Condition 1% 57 60 Mizu 1 28 juillet 2023
pas_valide DOM Clobbering 1% 307 60 Mizu 4 8 avril 2022
pas_valide Javascript - Obfuscation 6 1% 79 60 n3rada 2 27 avril 2023
pas_valide Browser - bfcache / disk cache 1% 30 65 Mizu 2 28 juillet 2023
pas_valide HTTP Response Splitting 1% 2299 70 Arod 6 7 novembre 2013
pas_valide Javascript - Obfuscation 5 1% 769 70 Hel0ck 9 31 décembre 2010
pas_valide XS Leaks 1% 171 75 Mizu 3 8 avril 2022
pas_valide XSS - Stored - contournement de filtres 1% 1382 80 Arod , sambecks 10 2 janvier 2016
pas_valide XSS - DOM Based 1% 814 85 vic 10 24 décembre 2016
pas_valide Same Origin Method Execution 1% 21 90 Mizu 1 28 juillet 2023

Résultats des challenges Résultats des challenges

Pseudonyme Epreuve Langue Date
ThaneRoss Web - Client  CSP Bypass - Dangling markup fr 12 juin 2024 to 17:01
IxchelO Web - Client  Javascript - Authentification 2 fr 12 juin 2024 to 16:55
dryy Web - Client  Self XSS - DOM Secrets fr 12 juin 2024 to 16:51
IxchelO Web - Client  Javascript - Source fr 12 juin 2024 to 16:50
IxchelO Web - Client  Javascript - Authentification fr 12 juin 2024 to 16:47
Sanguine Web - Client  Javascript - Authentification 2 fr 12 juin 2024 to 16:44
Forcanist Web - Client  Javascript - Native code fr 12 juin 2024 to 16:42
KaiserSauzee Web - Client  CSRF - 0 protection fr 12 juin 2024 to 16:40
kiryu Web - Client  Javascript - Native code fr 12 juin 2024 to 16:39
ThaneRoss Web - Client  CSP Bypass - Dangling markup 2 fr 12 juin 2024 to 16:37