Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
Connaitre un langage "web serveur", par exemple PHP ;
Connaitre le langage SQL ;
Connaitre le protocole HTTP ;
Maitriser un navigateur web.

55 Challenges

Résultats	Nom de l'épreuve	Validations	Nombre de points	Difficulté ↓↑	Auteur	Note	Solution
	HTML	50% 44202	5		g0uZ		2
	HTTP - Open redirect	12% 10200	10		Swissky		10
	Mot de passe faible	39% 34485	10		g0uZ		3
	User-agent	26% 22823	10		g0uZ		12
	HTTP verb tampering	16% 14012	15		g0uZ		12
	Redirection invalide	13% 11210	15		Arod		11
	Install files	17% 14587	15		g0uZ		2
	HTTP Headers	17% 14911	15		Arod		8
	HTTP directory indexing	27% 23298	15		g0uZ		5
	Fichier de sauvegarde	20% 17268	15		g0uZ		5
	Injection de commande	11% 9328	10		sambecks		10
	XML External Entity	2% 1347	35		sambecks		1
	LDAP injection - authentification	5% 3609	35		g0uZ		5
	NoSQL injection - authentification	3% 2529	35		mastho		7
	Path Truncation	3% 1789	35		Geluchat		4
	PHP Sérialisation	3% 2556	35		Arod		5
	SQL injection - numérique	6% 4729	35		g0uZ		4
	SQL Injection - Routed	2% 983	35		soka		8
	SQL Truncation	3% 2073	35		Geluchat		3
	SQL injection - Insert	1% 889	40		sambecks		10
	XPath injection - authentification	4% 2729	35		g0uZ		8
	Java - Spring Boot	1% 530	40		dvor4x		5
	Local File Inclusion - Wrappers	1% 857	40		sambecks		4
	SQL injection - Error	3% 2010	40		sambecks		6
	SQL injection - string	7% 5752	30		g0uZ		7
	SQL injection - lecture de fichiers	2% 1662	40		Arod		5
	XPath injection - string	2% 1489	40		g0uZ		8
	NoSQL injection - en aveugle	1% 791	45		ghozt		10
	SQL injection - Time based	2% 1481	45		ycam		3
	XSLT - Code execution	1% 707	30		ghozt		6
	Remote File Inclusion	5% 3906	30		g0uZ		12
	SQL injection - authentification - GBK	3% 2137	30		dvor4x		7
	PHP filters	8% 6900	25		g0uZ		4
	CRLF	10% 8734	20		g0uZ		2
	File upload - double extensions	12% 10557	20		g0uZ		8
	File upload - type MIME	10% 8068	20		g0uZ		6
	HTTP cookies	15% 12983	20		g0uZ		7
	Directory traversal	13% 10962	25		g0uZ		2
	File upload - null byte	9% 7632	25		g0uZ		3
	SQL injection - authentification	14% 12440	30		g0uZ		10
	PHP assert()	5% 3581	25		Birdy42		10
	PHP register globals	7% 5711	25		g0uZ		2
	File upload - ZIP	2% 1521	30		ghozt		2
	Injection de commande - contournement de filtre	2% 1154	30		sambecks		6
	Local File Inclusion	10% 8843	30		g0uZ		1
	Local File Inclusion - Double encoding	5% 3938	30		zM		3
	PHP - Loose Comparison	2% 978	30		ghozt		5
	PHP preg_replace()	4% 3080	30		sambecks		9
	PHP type juggling	4% 2944	30		vic511		7
	Server-side Template Injection	4% 3119	30		righettod		5
	Server Side Request Forgery	1% 8	50		sambecks		0
	SQL injection - en aveugle	4% 2825	50		g0uZ		9
	LDAP injection - en aveugle	2% 1059	55		g0uZ		10
	XPath injection - en aveugle	1% 665	75		g0uZ		4
	SQL injection - contournement de filtres	1% 606	80		sambecks		4

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
HERMES	HTTP verb tampering		23 juin 2018 à 20:34
Mula	HTTP - Open redirect		23 juin 2018 à 20:33
alan	File upload - double extensions		23 juin 2018 à 20:32
switch	Server Side Request Forgery		23 juin 2018 à 20:22
X3ph	User-agent		23 juin 2018 à 20:18
best	User-agent		23 juin 2018 à 20:17
best	Weak password		23 juin 2018 à 20:12
X3ph	HTTP directory indexing		23 juin 2018 à 20:12
best	Command injection		23 juin 2018 à 20:10
lpezzolla	Install files		23 juin 2018 à 20:09