Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
- Connaitre un langage "web serveur", par exemple PHP ;
- Connaitre le langage SQL ;
- Connaitre le protocole HTTP ;
- Maitriser un navigateur web.

Challenges publiés dans cette rubrique 55 Challenges

Résultats Nom de l'épreuve Validations Nombre de points  Explications sur les scores Difficulté  Difficulté Auteur Note  Notation Solution
pas_valide HTML 50% 45023 5 g0uZ 2
pas_valide HTTP - Open redirect 12% 10750 10 Swissky 10
pas_valide Injection de commande 11% 9909 10 sambecks 10
pas_valide Mot de passe faible 39% 35019 10 g0uZ 3
pas_valide User-agent 26% 23270 10 g0uZ 12
pas_valide Fichier de sauvegarde 20% 17615 15 g0uZ 5
pas_valide HTTP directory indexing 27% 23714 15 g0uZ 5
pas_valide HTTP Headers 17% 15262 15 Arod 8
pas_valide HTTP verb tampering 16% 14320 15 g0uZ 12
pas_valide Install files 17% 14865 15 g0uZ 2
pas_valide Redirection invalide 13% 11464 15 Arod 11
pas_valide CRLF 10% 8949 20 g0uZ 2
pas_valide File upload - double extensions 12% 10771 20 g0uZ 8
pas_valide File upload - type MIME 10% 8246 20 g0uZ 6
pas_valide HTTP cookies 15% 13240 20 g0uZ 7
pas_valide Directory traversal 13% 11179 25 g0uZ 2
pas_valide File upload - null byte 9% 7802 25 g0uZ 3
pas_valide PHP assert() 5% 3706 25 Birdy42 10
pas_valide PHP filters 8% 7038 25 g0uZ 4
pas_valide PHP register globals 7% 5842 25 g0uZ 2
pas_valide File upload - ZIP 2% 1608 30 ghozt 2
pas_valide Injection de commande - contournement de filtre 2% 1218 30 sambecks 6
pas_valide Local File Inclusion 10% 9016 30 g0uZ 1
pas_valide Local File Inclusion - Double encoding 5% 4042 30 zM 3
pas_valide PHP - Loose Comparison 2% 1086 30 ghozt 5
pas_valide PHP preg_replace() 4% 3169 30 sambecks 9
pas_valide PHP type juggling 4% 3012 30 vic511 7
pas_valide Remote File Inclusion 5% 3987 30 g0uZ 12
pas_valide Server-side Template Injection 4% 3193 30 righettod 5
pas_valide SQL injection - authentification 14% 12687 30 g0uZ 10
pas_valide SQL injection - authentification - GBK 3% 2206 30 dvor4x 7
pas_valide SQL injection - string 7% 5879 30 g0uZ 7
pas_valide XSLT - Code execution 1% 740 30 ghozt 6
pas_valide LDAP injection - authentification 5% 3711 35 g0uZ 5
pas_valide NoSQL injection - authentification 3% 2586 35 mastho 7
pas_valide Path Truncation 3% 1842 35 Geluchat 4
pas_valide PHP Sérialisation 3% 2595 35 Arod 5
pas_valide SQL injection - numérique 6% 4813 35 g0uZ 4
pas_valide SQL Injection - Routed 2% 1004 35 soka 8
pas_valide SQL Truncation 3% 2112 35 Geluchat 3
pas_valide XML External Entity 2% 1389 35 sambecks 1
pas_valide XPath injection - authentification 4% 2781 35 g0uZ 8
pas_valide Java - Spring Boot 1% 544 40 dvor4x 5
pas_valide Local File Inclusion - Wrappers 1% 878 40 sambecks 4
pas_valide SQL injection - Error 3% 2085 40 sambecks 6
pas_valide SQL injection - Insert 1% 901 40 sambecks 10
pas_valide SQL injection - lecture de fichiers 2% 1714 40 Arod 5
pas_valide XPath injection - string 2% 1510 40 g0uZ 8
pas_valide NoSQL injection - en aveugle 1% 809 45 ghozt 10
pas_valide SQL injection - Time based 2% 1535 45 ycam 3
pas_valide Server Side Request Forgery 1% 84 50 sambecks 3
pas_valide SQL injection - en aveugle 4% 2874 50 g0uZ 9
pas_valide LDAP injection - en aveugle 2% 1070 55 g0uZ 10
pas_valide XPath injection - en aveugle 1% 676 75 g0uZ 4
pas_valide SQL injection - contournement de filtres 1% 627 80 sambecks 4

Résultats des challenges Résultats des challenges

Pseudonyme Epreuve Langue Date
whatroot0000   PHP register globals en 16 juillet 2018 à 19:51
Néogalactica   Directory traversal fr 16 juillet 2018 à 19:48
Yacine   Injection de commande - contournement de filtre fr 16 juillet 2018 à 19:45
Saweera Apintanapong   LDAP injection - authentication en 16 juillet 2018 à 19:42
tester   HTTP Headers en 16 juillet 2018 à 19:41
tester   HTTP directory indexing en 16 juillet 2018 à 19:37
tester   Backup file en 16 juillet 2018 à 19:31
Erylisia   File upload - null byte fr 16 juillet 2018 à 19:29
Poulain   Install files fr 16 juillet 2018 à 19:28
PVC_IT   Directory traversal en 16 juillet 2018 à 19:26