Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

96 Challenges

Résultats	Nom	Validations	Nombre de points	Difficulté	Auteur ↓↑	Note	Solution	Date
	HTML - Code source	48% 173169	5		g0uZ		8	17 janvier 2006
	SQL injection - Authentification	14% 47156	30		g0uZ		10	27 février 2011
	LDAP injection - Authentification	3% 10589	35		g0uZ		7	26 mai 2013
	SQL injection - Numérique	5% 15514	35		g0uZ		7	24 décembre 2012
	File upload - Null byte	7% 24437	25		g0uZ		5	26 décembre 2012
	Directory traversal	10% 36030	25		g0uZ		4	31 juillet 2011
	SQL injection - String	7% 22423	30		g0uZ		7	24 décembre 2012
	XPath injection - Authentification	2% 6756	35		g0uZ		10	27 décembre 2012
	HTTP - Cookies	13% 46546	20		g0uZ		10	12 février 2006
	Local File Inclusion	8% 26065	30		g0uZ		5	2 octobre 2011
	File upload - Type MIME	8% 28671	20		g0uZ		10	26 décembre 2012
	File upload - Double extensions	10% 35640	20		g0uZ		10	24 décembre 2012
	PHP - Register globals	5% 16170	25		g0uZ		5	8 octobre 2011
	CRLF	9% 32287	20		g0uZ		6	31 juillet 2011
	XPath injection - String	2% 4017	40		g0uZ		8	26 mai 2013
	HTTP - Directory indexing	22% 78769	15		g0uZ		7	5 février 2006
	XPath injection - En aveugle	1% 2426	75		g0uZ		7	27 décembre 2012
	HTTP - User-agent	24% 85745	10		g0uZ		12	17 janvier 2006
	Mot de passe faible	31% 112055	10		g0uZ		6	4 février 2006
	LDAP injection - En aveugle	1% 3549	55		g0uZ		10	8 juin 2013
	SQL injection - En aveugle	3% 7910	50		g0uZ		10	27 février 2011
	Fichier de sauvegarde	16% 55115	15		g0uZ		7	27 février 2011
	Remote File Inclusion	4% 12063	30		g0uZ		12	25 novembre 2015
	HTTP - Verb tampering	14% 47210	15		g0uZ		10	5 septembre 2010
	Install files	13% 44599	15		g0uZ		4	12 février 2006
	PHP - Filters	6% 20090	25		g0uZ		7	27 février 2011
	SQL injection - Lecture de fichiers	2% 6058	40		Arod		7	19 octobre 2014
	HTTP - Headers	16% 55741	15		Arod		10	11 janvier 2015
	HTTP - Redirection invalide	12% 43426	15		Arod		11	26 novembre 2014
	PHP - Sérialisation	2% 6877	35		Arod		6	3 février 2014
	SQL Truncation	2% 6947	35		Geluchat		5	1er mai 2015
	PHP - Path Truncation	2% 5552	35		Geluchat		7	25 mars 2015
	SQL injection - Authentification - GBK	3% 10115	30		dvor4x		8	2 décembre 2015
	Java - Spring Boot	1% 2393	40		dvor4x		6	24 décembre 2016
	SQL injection - Error	3% 8176	40		sambecks		8	4 mars 2015
	XML External Entity	2% 5793	35		sambecks		2	20 octobre 2014
	Local File Inclusion - Wrappers	2% 3772	40		sambecks		8	2 mars 2016
	SQL injection - Insert	1% 3272	40		sambecks		10	23 février 2015
	Server Side Request Forgery	1% 1970	50		sambecks		8	22 juin 2018
	PHP - preg_replace()	3% 9215	30		sambecks		10	2 mars 2016
	SQL injection - Contournement de filtres	1% 3039	80		sambecks		5	21 juillet 2014
	PHP - Injection de commande	19% 68244	10		sambecks		10	20 septembre 2017
	Injection de commande - Contournement de filtre	3% 7839	30		sambecks		10	20 septembre 2017
	Java - Server-side Template Injection	4% 10991	30		righettod		9	29 novembre 2015
	HTTP - Open redirect	19% 68279	10		Swissky		10	2 août 2017
	Insecure Code Management	4% 14179	20		Swissky		10	29 septembre 2019
	Local File Inclusion - Double encoding	4% 13136	30		zM_		4	13 juin 2016
	PHP - Type juggling	3% 9047	30		vic		7	10 mars 2016
	NoSQL injection - Authentification	3% 7891	35		mastho		10	31 mai 2015
	SQL Injection - Routed	2% 5571	35		soka		10	24 décembre 2016
	SQL injection - Time based	2% 5968	45		ycam		8	11 septembre 2015
	JWT - Jeton révoqué	2% 6405	25		ArnC		6	20 mars 2020
	PHP - assert()	5% 15811	25		Birdy42		10	26 novembre 2016
	SQL Injection - Second Order	1% 242	55		k4ndar3c		5	29 novembre 2023
	NoSQL injection - En aveugle	1% 3124	45		ghozt		11	26 novembre 2016
	PHP - Loose Comparison	3% 7443	30		ghozt		7	10 janvier 2018
	File upload - ZIP	3% 9869	30		ghozt		2	3 août 2017
	XSLT - Exécution de code	2% 3818	30		ghozt		7	16 juillet 2017
	JWT - Introduction	5% 17884	20		Kn0wledge		9	21 août 2019
	PHP - Eval	2% 3738	40		chmod		11	8 novembre 2018
	PHP - Unserialize overflow	1% 803	55		mayfly		4	4 avril 2020
	PHP - Remote Xdebug	1% 1542	25		mayfly		10	18 mars 2020
	Elixir - EEx	1% 346	35		lolo42		2	29 novembre 2023
	HTTP - Contournement de filtrage IP	9% 30731	10		Cyrhades		10	23 mars 2021
	JWT - Secret faible	4% 12415	25		Jrmbt		10	21 août 2019
	JWT - Clé publique	2% 4030	30		Jrmbt		10	21 août 2019
	HTTP - POST	14% 50667	15		Th1b4ud		10	14 août 2018
	GraphQL - Mutation	1% 1624	40		CanardMandarin		4	20 octobre 2020
	Python - Server-side Template Injection Introduction	2% 4861	25		Podalirius		6	7 septembre 2021
	NodeJS - vm escape	1% 786	50		Podalirius		5	15 avril 2021
	Python - SSTI contournement de filtres en aveugle	1% 705	75		Podalirius		8	7 septembre 2021
	PHP - Eval - Contournement de filtres avancés	1% 643	40		Podalirius		5	8 juillet 2022
	Node - Serialize	1% 1351	35		Mhd_Root		10	24 février 2021
	Node - Eval	1% 3070	30		Mhd_Root		10	24 février 2021
	File upload - Polyglot	1% 503	45		Cyxo		4	8 juillet 2022
	PHP - Unserialize Pop Chain	1% 744	55		Worty		6	22 octobre 2021
	NodeJS - Prototype Pollution Bypass	1% 571	45		Worty		5	22 octobre 2021
	Java - Custom gadget deserialisation	1% 209	50		Elweth		3	28 décembre 2023
	Flask - Unsecure session	1% 2979	20		Sanlokii		2	29 novembre 2023
	Flask - Development server	1% 1104	30		Sanlokii		3	29 novembre 2023
	XSS - Server Side	1% 3016	20		Elf		8	23 juin 2023
	Yaml - Deserialization	1% 1481	35		Nishacid		10	20 avril 2021
	GraphQL - Injection	1% 868	30		apges01		3	19 janvier 2023
	GraphQL - Introspection	2% 4055	20		apges01		7	19 janvier 2023
	GraphQL - Backend injection	1% 474	40		apges01		6	19 janvier 2023
	Python dotenv	1% 89	70		jrjgjk		2	27 septembre 2024
	Nginx - SSRF Misconfiguration	1% 255	30		.Yo0x		2	27 septembre 2024
	Nginx - Alias Misconfiguration	1% 2827	15		.Yo0x		3	27 septembre 2024
	Nginx - Root Location Misconfiguration	1% 966	15		.Yo0x		3	27 septembre 2024
	PHP - Configuration Apache	1% 2623	25		erk3 , nemoz		3	8 juillet 2022
	API - Broken Access 2	1% 578	40		Nishacid , Mika		4	18 janvier 2024
	JWT - Unsecure File Signature	1% 2470	25		Nishacid , Mika		5	23 février 2023
	JWT - Unsecure Key Handling	1% 869	35		Nishacid , Mika		5	23 février 2023
	API - Mass Assignment	1% 3319	20		Nishacid , Mika		3	18 janvier 2024
	JWT - Header Injection	1% 1332	30		Nishacid , Mika		5	23 février 2023
	API - Broken Access	2% 5389	15		Nishacid , Mika		5	18 janvier 2024

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
MisterLao	Flask - Unsecure session		19 mai 2025 to 23:25
rebel01	Python - Blind SSTI Filters Bypass		19 mai 2025 to 23:22
th3outs1d3r	Backup file		19 mai 2025 to 23:11
babas	Flask - Unsecure session		19 mai 2025 to 22:55
sguk	File upload - Polyglot		19 mai 2025 to 22:55
wargeek	HTML - Code source		19 mai 2025 to 22:54
HexHunter	HTML - Source code		19 mai 2025 to 22:47
blueTUZZ_01	HTTP - Improper redirect		19 mai 2025 to 22:42
Solobashed	HTML - Code source		19 mai 2025 to 22:34
nazstone	API - Mass Assignment		19 mai 2025 to 22:33