Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

97 Challenges

Résultats	Nom	Validations ↓↑	Nombre de points	Difficulté	Auteur	Note	Solution	Date
	HTML - Code source	48% 175056	5		g0uZ		8	17 janvier 2006
	Mot de passe faible	31% 113188	10		g0uZ		6	4 février 2006
	HTTP - User-agent	24% 86706	10		g0uZ		12	17 janvier 2006
	HTTP - Directory indexing	22% 79560	15		g0uZ		7	5 février 2006
	PHP - Injection de commande	19% 69184	10		sambecks		10	20 septembre 2017
	HTTP - Open redirect	19% 69059	10		Swissky		10	2 août 2017
	HTTP - Headers	16% 56369	15		Arod		10	11 janvier 2015
	Fichier de sauvegarde	16% 55707	15		g0uZ		7	27 février 2011
	HTTP - POST	14% 51304	15		Th1b4ud		10	14 août 2018
	HTTP - Verb tampering	13% 47718	15		g0uZ		10	5 septembre 2010
	SQL injection - Authentification	13% 47669	30		g0uZ		10	27 février 2011
	HTTP - Cookies	13% 47009	20		g0uZ		10	12 février 2006
	Install files	13% 45047	15		g0uZ		4	12 février 2006
	HTTP - Redirection invalide	12% 43904	15		Arod		11	26 novembre 2014
	Directory traversal	10% 36459	25		g0uZ		4	31 juillet 2011
	File upload - Double extensions	10% 36050	20		g0uZ		10	24 décembre 2012
	CRLF	9% 32569	20		g0uZ		6	31 juillet 2011
	HTTP - Contournement de filtrage IP	9% 31649	10		Cyrhades		10	23 mars 2021
	File upload - Type MIME	8% 29067	20		g0uZ		10	26 décembre 2012
	Local File Inclusion	8% 26287	30		g0uZ		5	2 octobre 2011
	File upload - Null byte	7% 24734	25		g0uZ		5	26 décembre 2012
	SQL injection - String	7% 22675	30		g0uZ		7	24 décembre 2012
	PHP - Filters	6% 20319	25		g0uZ		7	27 février 2011
	JWT - Introduction	5% 18272	20		Kn0wledge		9	21 août 2019
	PHP - Register globals	5% 16340	25		g0uZ		5	8 octobre 2011
	PHP - assert()	5% 16030	25		Birdy42		10	26 novembre 2016
	SQL injection - Numérique	5% 15733	35		g0uZ		7	24 décembre 2012
	Insecure Code Management	4% 14394	20		Swissky		10	29 septembre 2019
	Local File Inclusion - Double encoding	4% 13289	30		zM_		4	13 juin 2016
	JWT - Secret faible	4% 12704	25		Jrmbt		10	21 août 2019
	Remote File Inclusion	4% 12198	30		g0uZ		12	25 novembre 2015
	Java - Server-side Template Injection	4% 11120	30		righettod		9	29 novembre 2015
	LDAP injection - Authentification	3% 10703	35		g0uZ		7	26 mai 2013
	SQL injection - Authentification - GBK	3% 10250	30		dvor4x		8	2 décembre 2015
	File upload - ZIP	3% 10023	30		ghozt		2	3 août 2017
	PHP - preg_replace()	3% 9357	30		sambecks		10	2 mars 2016
	PHP - Type juggling	3% 9143	30		vic		7	10 mars 2016
	SQL injection - Error	3% 8311	40		sambecks		8	4 mars 2015
	SQL injection - En aveugle	3% 8008	50		g0uZ		10	27 février 2011
	NoSQL injection - Authentification	3% 7998	35		mastho		10	31 mai 2015
	Injection de commande - Contournement de filtre	3% 7963	30		sambecks		10	20 septembre 2017
	PHP - Loose Comparison	3% 7549	30		ghozt		7	10 janvier 2018
	SQL Truncation	2% 7031	35		Geluchat		5	1er mai 2015
	PHP - Sérialisation	2% 6962	35		Arod		6	3 février 2014
	XPath injection - Authentification	2% 6838	35		g0uZ		10	27 décembre 2012
	JWT - Jeton révoqué	2% 6573	25		ArnC		6	20 mars 2020
	SQL injection - Lecture de fichiers	2% 6101	40		Arod		7	19 octobre 2014
	SQL injection - Time based	2% 6049	45		ycam		8	11 septembre 2015
	API - Broken Access	2% 5937	15		Nishacid , Mika		5	18 janvier 2024
	XML External Entity	2% 5849	35		sambecks		2	20 octobre 2014
	SQL Injection - Routed	2% 5644	35		soka		10	24 décembre 2016
	PHP - Path Truncation	2% 5605	35		Geluchat		7	25 mars 2015
	Python - Server-side Template Injection Introduction	2% 5003	25		Podalirius		6	7 septembre 2021
	GraphQL - Introspection	2% 4221	20		apges01		7	19 janvier 2023
	JWT - Clé publique	2% 4125	30		Jrmbt		10	21 août 2019
	XPath injection - String	2% 4069	40		g0uZ		8	26 mai 2013
	XSLT - Exécution de code	2% 3875	30		ghozt		7	16 juillet 2017
	Local File Inclusion - Wrappers	2% 3816	40		sambecks		8	2 mars 2016
	PHP - Eval	2% 3795	40		chmod		11	8 novembre 2018
	API - Mass Assignment	1% 3618	20		Nishacid , Mika		3	18 janvier 2024
	LDAP injection - En aveugle	1% 3581	55		g0uZ		10	8 juin 2013
	SQL injection - Insert	1% 3308	40		sambecks		10	23 février 2015
	Nginx - Alias Misconfiguration	1% 3230	15		.Yo0x		3	27 septembre 2024
	Flask - Unsecure session	1% 3181	20		Sanlokii		2	29 novembre 2023
	XSS - Server Side	1% 3180	20		Elf		8	23 juin 2023
	NoSQL injection - En aveugle	1% 3166	45		ghozt		11	26 novembre 2016
	Node - Eval	1% 3137	30		Mhd_Root		10	24 février 2021
	SQL injection - Contournement de filtres	1% 3096	80		sambecks		5	21 juillet 2014
	PHP - Configuration Apache	1% 2728	25		erk3 , nemoz		3	8 juillet 2022
	JWT - Unsecure File Signature	1% 2631	25		Nishacid , Mika		5	23 février 2023
	XPath injection - En aveugle	1% 2468	75		g0uZ		7	27 décembre 2012
	Java - Spring Boot	1% 2424	40		dvor4x		6	24 décembre 2016
	Server Side Request Forgery	1% 1997	50		sambecks		8	22 juin 2018
	GraphQL - Mutation	1% 1651	40		CanardMandarin		4	20 octobre 2020
	PHP - Remote Xdebug	1% 1574	25		mayfly		10	18 mars 2020
	Yaml - Deserialization	1% 1536	35		Nishacid		10	20 avril 2021
	Nginx - Root Location Misconfiguration	1% 1503	15		.Yo0x		5	27 septembre 2024
	JWT - Header Injection	1% 1420	30		Nishacid , Mika		5	23 février 2023
	Node - Serialize	1% 1398	35		Mhd_Root		10	24 février 2021
	Flask - Development server	1% 1203	30		Sanlokii		3	29 novembre 2023
	JWT - Unsecure Key Handling	1% 940	35		Nishacid , Mika		5	23 février 2023
	GraphQL - Injection	1% 922	30		apges01		3	19 janvier 2023
	PHP - Unserialize overflow	1% 819	55		mayfly		4	4 avril 2020
	NodeJS - vm escape	1% 810	50		Podalirius		5	15 avril 2021
	PHP - Unserialize Pop Chain	1% 772	55		Worty		6	22 octobre 2021
	Python - SSTI contournement de filtres en aveugle	1% 726	75		Podalirius		8	7 septembre 2021
	PHP - Eval - Contournement de filtres avancés	1% 670	40		Podalirius		5	8 juillet 2022
	API - Broken Access 2	1% 633	40		Nishacid , Mika		4	18 janvier 2024
	NodeJS - Prototype Pollution Bypass	1% 601	45		Worty		5	22 octobre 2021
	File upload - Polyglot	1% 526	45		Cyxo		4	8 juillet 2022
	GraphQL - Backend injection	1% 503	40		apges01		6	19 janvier 2023
	Elixir - EEx	1% 384	35		lolo42		3	29 novembre 2023
	Nginx - SSRF Misconfiguration	1% 358	30		.Yo0x		2	27 septembre 2024
	SQL Injection - Second Order	1% 260	55		k4ndar3c		5	29 novembre 2023
	Java - Custom gadget deserialisation	1% 244	50		Elweth		3	28 décembre 2023
	Python dotenv	1% 121	70		jrjgjk		5	27 septembre 2024
	Ruby on Rails - ransack	1% 45	30		koma		3	23 juin 2025

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
HappySquid	HTML - Code source		22 juillet 2025 to 11:18
Jordan	HTML - Code source		22 juillet 2025 to 11:10
Mélina	Fichier de sauvegarde		22 juillet 2025 to 11:10
vndlmonk3y	JWT - Weak secret		22 juillet 2025 to 11:01
huli07	HTTP - Headers		22 juillet 2025 to 10:51
vndlmonk3y	File upload - Double extensions		22 juillet 2025 to 10:45
huli07	PHP - Injection de commande		22 juillet 2025 to 10:43
Math.gg123	PHP - Injection de commande		22 juillet 2025 to 10:39
CodeMaster	Mot de passe faible		22 juillet 2025 to 10:38
Math.gg123	Mot de passe faible		22 juillet 2025 to 10:32