Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
Connaitre un langage "web serveur", par exemple PHP ;
Connaitre le langage SQL ;
Connaitre le protocole HTTP ;
Maitriser un navigateur web.

56 Challenges

Résultats	Nom de l'épreuve	Validations	Nombre de points	Difficulté ↓↑	Auteur	Note	Solution
	HTML	50% 47327	5		g0uZ		2
	HTTP - Open redirect	13% 12159	10		Swissky		10
	Mot de passe faible	39% 36519	10		g0uZ		3
	User-agent	26% 24444	10		g0uZ		12
	HTTP - POST	3% 2190	15		Th1b4ud		9
	HTTP verb tampering	16% 15135	15		g0uZ		12
	Redirection invalide	13% 12125	15		Arod		11
	Install files	17% 15634	15		g0uZ		2
	HTTP Headers	17% 16158	15		Arod		8
	HTTP directory indexing	26% 24843	15		g0uZ		5
	Fichier de sauvegarde	20% 18528	15		g0uZ		5
	Injection de commande	12% 11307	10		sambecks		10
	XML External Entity	2% 1512	35		sambecks		1
	LDAP injection - authentification	5% 3923	35		g0uZ		6
	NoSQL injection - authentification	3% 2744	35		mastho		8
	Path Truncation	3% 1983	35		Geluchat		5
	PHP Sérialisation	3% 2722	35		Arod		5
	SQL injection - numérique	6% 5034	35		g0uZ		4
	SQL Injection - Routed	2% 1130	35		soka		9
	SQL Truncation	3% 2248	35		Geluchat		4
	SQL injection - lecture de fichiers	2% 1858	40		Arod		5
	XPath injection - authentification	4% 2911	35		g0uZ		8
	Java - Spring Boot	1% 598	40		dvor4x		5
	Local File Inclusion - Wrappers	1% 955	40		sambecks		4
	SQL injection - Error	3% 2272	40		sambecks		6
	SQL injection - Insert	1% 950	40		sambecks		10
	SQL injection - string	7% 6195	30		g0uZ		7
	XPath injection - string	2% 1602	40		g0uZ		8
	NoSQL injection - en aveugle	1% 878	45		ghozt		10
	SQL injection - Time based	2% 1686	45		ycam		3
	XSLT - Code execution	1% 824	30		ghozt		6
	Remote File Inclusion	5% 4210	30		g0uZ		12
	SQL injection - authentification - GBK	3% 2389	30		dvor4x		7
	PHP filters	8% 7404	25		g0uZ		5
	CRLF	10% 9494	20		g0uZ		2
	File upload - double extensions	12% 11360	20		g0uZ		9
	File upload - type MIME	10% 8687	20		g0uZ		7
	HTTP cookies	15% 13931	20		g0uZ		7
	Directory traversal	13% 11792	25		g0uZ		2
	File upload - null byte	9% 8209	25		g0uZ		3
	SQL injection - authentification	14% 13240	30		g0uZ		10
	PHP assert()	5% 4067	25		Birdy42		10
	PHP register globals	7% 6158	25		g0uZ		2
	File upload - ZIP	2% 1814	30		ghozt		2
	Injection de commande - contournement de filtre	2% 1398	30		sambecks		6
	Local File Inclusion	10% 9446	30		g0uZ		1
	Local File Inclusion - Double encoding	5% 4321	30		zM		3
	PHP - Loose Comparison	2% 1324	30		ghozt		5
	PHP preg_replace()	4% 3423	30		sambecks		9
	PHP type juggling	4% 3206	30		vic511		7
	Server-side Template Injection	4% 3393	30		righettod		5
	Server Side Request Forgery	1% 149	50		sambecks		3
	SQL injection - en aveugle	4% 2980	50		g0uZ		9
	LDAP injection - en aveugle	2% 1131	55		g0uZ		10
	XPath injection - en aveugle	1% 724	75		g0uZ		4
	SQL injection - contournement de filtres	1% 663	80		sambecks		4

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
Lumix	HTTP verb tampering		18 septembre 2018 à 21:44
Newst	PHP register globals		18 septembre 2018 à 21:43
bbpunk14	Injection de commande		18 septembre 2018 à 21:42
Neb	User-agent		18 septembre 2018 à 21:41
Lumix	Command injection		18 septembre 2018 à 21:40
Neb	HTTP verb tampering		18 septembre 2018 à 21:34
Khyx	HTML		18 septembre 2018 à 21:34
MxlleSam	HTTP - POST		18 septembre 2018 à 21:33
bbpunk14	HTTP - Open redirect		18 septembre 2018 à 21:33
Guthlaf	PHP Sérialisation		18 septembre 2018 à 21:26