Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

97 Challenges

Résultats	Nom	Validations ↓↑	Nombre de points	Difficulté	Auteur	Note	Solution	Date
	Python dotenv	1% 226	70		jrjgjk		5	27 septembre 2024
	Ruby on Rails - ransack	1% 242	30		koma		3	23 juin 2025
	SQL Injection - Second Order	1% 333	55		k4ndar3c		5	29 novembre 2023
	Java - Custom gadget deserialisation	1% 354	50		Elweth		3	28 décembre 2023
	Elixir - EEx	1% 521	35		lolo42		3	29 novembre 2023
	GraphQL - Backend injection	1% 615	40		apges01		6	19 janvier 2023
	NodeJS - Prototype Pollution Bypass	1% 649	45		Worty		5	22 octobre 2021
	File upload - Polyglot	1% 687	45		Cyxo		4	8 juillet 2022
	PHP - Eval - Contournement de filtres avancés	1% 772	40		Podalirius		5	8 juillet 2022
	Nginx - SSRF Misconfiguration	1% 841	30		.Yo0x		3	27 septembre 2024
	Python - SSTI contournement de filtres en aveugle	1% 847	75		Podalirius		9	7 septembre 2021
	API - Broken Access 2	1% 874	40		Nishacid , Mika		4	18 janvier 2024
	PHP - Unserialize Pop Chain	1% 887	55		Worty		6	22 octobre 2021
	PHP - Unserialize overflow	1% 895	55		mayfly		4	4 avril 2020
	NodeJS - vm escape	1% 903	50		Podalirius		5	15 avril 2021
	JWT - Unsecure Key Handling	1% 1143	35		Nishacid , Mika		5	23 février 2023
	GraphQL - Injection	1% 1179	30		apges01		3	19 janvier 2023
	Flask - Development server	1% 1500	30		Sanlokii		3	29 novembre 2023
	Node - Serialize	1% 1554	35		Mhd_Root		10	24 février 2021
	Yaml - Deserialization	1% 1679	35		Nishacid		10	20 avril 2021
	PHP - Remote Xdebug	1% 1698	25		mayfly		10	18 mars 2020
	JWT - Header Injection	1% 1715	30		Nishacid , Mika		5	23 février 2023
	GraphQL - Mutation	1% 1784	40		CanardMandarin		4	20 octobre 2020
	Server Side Request Forgery	1% 2109	50		sambecks		8	22 juin 2018
	Java - Spring Boot	1% 2534	40		dvor4x		6	24 décembre 2016
	XPath injection - En aveugle	1% 2593	75		g0uZ		7	27 décembre 2012
	PHP - Configuration Apache	1% 3118	25		erk3 , nemoz		3	8 juillet 2022
	JWT - Unsecure File Signature	1% 3158	25		Nishacid , Mika		6	23 février 2023
	Nginx - Root Location Misconfiguration	1% 3207	15		.Yo0x		5	27 septembre 2024
	SQL injection - Contournement de filtres	1% 3363	80		sambecks		5	21 juillet 2014
	Node - Eval	1% 3420	30		Mhd_Root		10	24 février 2021
	NoSQL injection - En aveugle	1% 3423	45		ghozt		11	26 novembre 2016
	SQL injection - Insert	1% 3485	40		sambecks		10	23 février 2015
	LDAP injection - En aveugle	1% 3756	55		g0uZ		10	8 juin 2013
	XSS - Server Side	2% 3900	20		Elf		8	23 juin 2023
	Flask - Unsecure session	2% 3963	20		Sanlokii		2	29 novembre 2023
	PHP - Eval	2% 4048	40		chmod		11	8 novembre 2018
	Local File Inclusion - Wrappers	2% 4066	40		sambecks		8	2 mars 2016
	XSLT - Exécution de code	2% 4080	30		ghozt		7	16 juillet 2017
	XPath injection - String	2% 4208	40		g0uZ		8	26 mai 2013
	JWT - Clé publique	2% 4505	30		Jrmbt		10	21 août 2019
	API - Mass Assignment	2% 4742	20		Nishacid , Mika		3	18 janvier 2024
	Nginx - Alias Misconfiguration	2% 4768	15		.Yo0x		3	27 septembre 2024
	GraphQL - Introspection	2% 4935	20		apges01		7	19 janvier 2023
	Python - Server-side Template Injection Introduction	2% 5649	25		Podalirius		6	7 septembre 2021
	PHP - Path Truncation	2% 5822	35		Geluchat		7	25 mars 2015
	SQL Injection - Routed	2% 5970	35		soka		10	24 décembre 2016
	XML External Entity	2% 6136	35		sambecks		2	20 octobre 2014
	SQL injection - Time based	2% 6337	45		ycam		8	11 septembre 2015
	SQL injection - Lecture de fichiers	2% 6510	40		Arod		7	19 octobre 2014
	XPath injection - Authentification	2% 7077	35		g0uZ		10	27 décembre 2012
	JWT - Jeton révoqué	2% 7256	25		ArnC		6	20 mars 2020
	PHP - Sérialisation	2% 7262	35		Arod		6	3 février 2014
	SQL Truncation	2% 7424	35		Geluchat		5	1er mai 2015
	PHP - Loose Comparison	3% 7909	30		ghozt		8	10 janvier 2018
	API - Broken Access	3% 8088	15		Nishacid , Mika		5	18 janvier 2024
	SQL injection - En aveugle	3% 8392	50		g0uZ		10	27 février 2011
	NoSQL injection - Authentification	3% 8430	35		mastho		10	31 mai 2015
	Injection de commande - Contournement de filtre	3% 8491	30		sambecks		10	20 septembre 2017
	SQL injection - Error	3% 8838	40		sambecks		9	4 mars 2015
	PHP - Type juggling	3% 9477	30		vic		7	10 mars 2016
	PHP - preg_replace()	3% 9694	30		sambecks		10	2 mars 2016
	File upload - ZIP	3% 10615	30		ghozt		2	3 août 2017
	SQL injection - Authentification - GBK	3% 10807	30		dvor4x		8	2 décembre 2015
	LDAP injection - Authentification	3% 11126	35		g0uZ		7	26 mai 2013
	Java - Server-side Template Injection	4% 11670	30		righettod		9	29 novembre 2015
	Remote File Inclusion	4% 12705	30		g0uZ		12	25 novembre 2015
	JWT - Secret faible	4% 13585	25		Jrmbt		10	21 août 2019
	Local File Inclusion - Double encoding	4% 13904	30		zM_		4	13 juin 2016
	Insecure Code Management	4% 15187	20		Swissky		10	29 septembre 2019
	SQL injection - Numérique	5% 16464	35		g0uZ		7	24 décembre 2012
	PHP - assert()	5% 16674	25		Birdy42		10	26 novembre 2016
	PHP - Register globals	5% 16917	25		g0uZ		5	8 octobre 2011
	JWT - Introduction	6% 19569	20		Kn0wledge		9	21 août 2019
	PHP - Filters	6% 21042	25		g0uZ		7	27 février 2011
	SQL injection - String	7% 23740	30		g0uZ		7	24 décembre 2012
	File upload - Null byte	7% 25761	25		g0uZ		5	26 décembre 2012
	Local File Inclusion	8% 27426	30		g0uZ		5	2 octobre 2011
	File upload - Type MIME	8% 30274	20		g0uZ		10	26 décembre 2012
	CRLF	9% 33612	20		g0uZ		6	31 juillet 2011
	HTTP - Contournement de filtrage IP	10% 35477	10		Cyrhades		10	23 mars 2021
	File upload - Double extensions	10% 37539	20		g0uZ		10	24 décembre 2012
	Directory traversal	10% 37923	25		g0uZ		4	31 juillet 2011
	HTTP - Redirection invalide	12% 45720	15		Arod		11	26 novembre 2014
	Install files	13% 46713	15		g0uZ		4	12 février 2006
	HTTP - Cookies	13% 48912	20		g0uZ		10	12 février 2006
	HTTP - Verb tampering	13% 49572	15		g0uZ		10	5 septembre 2010
	SQL injection - Authentification	13% 49843	30		g0uZ		10	27 février 2011
	HTTP - POST	14% 53896	15		Th1b4ud		10	14 août 2018
	Fichier de sauvegarde	15% 57761	15		g0uZ		7	27 février 2011
	HTTP - Headers	16% 58812	15		Arod		10	11 janvier 2015
	HTTP - Open redirect	19% 72487	10		Swissky		10	2 août 2017
	PHP - Injection de commande	19% 72851	10		sambecks		10	20 septembre 2017
	HTTP - Directory indexing	22% 82804	15		g0uZ		7	5 février 2006
	HTTP - User-agent	24% 90894	10		g0uZ		12	17 janvier 2006
	Mot de passe faible	31% 117885	10		g0uZ		6	4 février 2006
	HTML - Code source	48% 183437	5		g0uZ		8	17 janvier 2006

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
fenrir	SQL injection - Numérique		12 mars 2026 to 05:53
fenrir	SQL injection - Authentification		12 mars 2026 to 05:35
fenrir	Node - Eval		12 mars 2026 to 05:04
Max	PHP - Filters		12 mars 2026 to 05:03
Dino	SQL injection - Authentication		12 mars 2026 to 05:00
AndreJon	HTML - Source code		12 mars 2026 to 04:49
Max	HTTP - Improper redirect		12 mars 2026 to 04:47
Max	HTTP - Headers		12 mars 2026 to 04:37
MGYB666	Flask - Unsecure session		12 mars 2026 to 04:34
fzrhhhhhhh	HTML - Code source		12 mars 2026 to 04:33