Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

97 Challenges

Résultats	Nom	Validations	Nombre de points	Difficulté	Auteur	Note ↓↑	Solution	Date
	JWT - Jeton révoqué	2% 6977	25		ArnC		6	20 mars 2020
	PHP - Remote Xdebug	1% 1634	25		mayfly		10	18 mars 2020
	SQL injection - Authentification - GBK	3% 10560	30		dvor4x		8	2 décembre 2015
	CRLF	9% 33142	20		g0uZ		6	31 juillet 2011
	Java - Spring Boot	1% 2489	40		dvor4x		6	24 décembre 2016
	NodeJS - Prototype Pollution Bypass	1% 630	45		Worty		5	22 octobre 2021
	Nginx - SSRF Misconfiguration	1% 654	30		.Yo0x		3	27 septembre 2024
	GraphQL - Introspection	2% 4649	20		apges01		7	19 janvier 2023
	JWT - Clé publique	2% 4350	30		Jrmbt		10	21 août 2019
	PHP - Path Truncation	2% 5738	35		Geluchat		7	25 mars 2015
	Flask - Development server	1% 1364	30		Sanlokii		3	29 novembre 2023
	SQL Injection - Second Order	1% 293	55		k4ndar3c		5	29 novembre 2023
	API - Broken Access 2	1% 758	40		Nishacid , Mika		4	18 janvier 2024
	Mot de passe faible	31% 116046	10		g0uZ		6	4 février 2006
	Fichier de sauvegarde	15% 56892	15		g0uZ		7	27 février 2011
	PHP - Configuration Apache	1% 2944	25		erk3 , nemoz		3	8 juillet 2022
	File upload - Polyglot	1% 593	45		Cyxo		4	8 juillet 2022
	HTTP - User-agent	24% 89190	10		g0uZ		12	17 janvier 2006
	Injection de commande - Contournement de filtre	3% 8263	30		sambecks		10	20 septembre 2017
	SQL injection - Contournement de filtres	1% 3232	80		sambecks		5	21 juillet 2014
	GraphQL - Injection	1% 1063	30		apges01		3	19 janvier 2023
	API - Broken Access	2% 7182	15		Nishacid , Mika		5	18 janvier 2024
	Install files	13% 46006	15		g0uZ		4	12 février 2006
	Server Side Request Forgery	1% 2064	50		sambecks		8	22 juin 2018
	Elixir - EEx	1% 458	35		lolo42		3	29 novembre 2023
	XSLT - Exécution de code	2% 4005	30		ghozt		7	16 juillet 2017
	HTTP - Open redirect	19% 71117	10		Swissky		10	2 août 2017
	JWT - Unsecure Key Handling	1% 1061	35		Nishacid , Mika		5	23 février 2023
	GraphQL - Backend injection	1% 562	40		apges01		6	19 janvier 2023
	HTTP - Headers	16% 57812	15		Arod		10	11 janvier 2015
	SQL Injection - Routed	2% 5831	35		soka		10	24 décembre 2016
	PHP - Register globals	5% 16697	25		g0uZ		5	8 octobre 2011
	JWT - Unsecure File Signature	1% 2940	25		Nishacid , Mika		6	23 février 2023
	SQL injection - Insert	1% 3391	40		sambecks		10	23 février 2015
	SQL injection - Time based	2% 6200	45		ycam		8	11 septembre 2015
	File upload - Null byte	7% 25342	25		g0uZ		5	26 décembre 2012
	SQL injection - Lecture de fichiers	2% 6354	40		Arod		7	19 octobre 2014
	SQL Truncation	2% 7263	35		Geluchat		5	1er mai 2015
	Nginx - Root Location Misconfiguration	1% 2552	15		.Yo0x		5	27 septembre 2024
	PHP - Eval	2% 3944	40		chmod		11	8 novembre 2018
	Local File Inclusion - Double encoding	4% 13683	30		zM_		4	13 juin 2016
	PHP - Unserialize overflow	1% 853	55		mayfly		4	4 avril 2020
	HTTP - Contournement de filtrage IP	9% 33953	10		Cyrhades		10	23 mars 2021
	XML External Entity	2% 6007	35		sambecks		2	20 octobre 2014
	Yaml - Deserialization	1% 1614	35		Nishacid		10	20 avril 2021
	PHP - Eval - Contournement de filtres avancés	1% 723	40		Podalirius		5	8 juillet 2022
	PHP - assert()	5% 16409	25		Birdy42		10	26 novembre 2016
	Nginx - Alias Misconfiguration	2% 4127	15		.Yo0x		3	27 septembre 2024
	LDAP injection - En aveugle	1% 3674	55		g0uZ		10	8 juin 2013
	NoSQL injection - Authentification	3% 8190	35		mastho		10	31 mai 2015
	SQL injection - Error	3% 8611	40		sambecks		9	4 mars 2015
	GraphQL - Mutation	1% 1725	40		CanardMandarin		4	20 octobre 2020
	HTTP - Directory indexing	22% 81555	15		g0uZ		7	5 février 2006
	PHP - Sérialisation	2% 7146	35		Arod		6	3 février 2014
	Node - Serialize	1% 1485	35		Mhd_Root		10	24 février 2021
	HTTP - Cookies	13% 48134	20		g0uZ		10	12 février 2006
	PHP - Type juggling	3% 9339	30		vic		7	10 mars 2016
	Directory traversal	10% 37295	25		g0uZ		4	31 juillet 2011
	HTTP - POST	14% 52900	15		Th1b4ud		10	14 août 2018
	HTTP - Redirection invalide	12% 44960	15		Arod		11	26 novembre 2014
	Local File Inclusion - Wrappers	2% 3974	40		sambecks		8	2 mars 2016
	XSS - Server Side	1% 3586	20		Elf		8	23 juin 2023
	Python - SSTI contournement de filtres en aveugle	1% 792	75		Podalirius		9	7 septembre 2021
	Remote File Inclusion	4% 12500	30		g0uZ		12	25 novembre 2015
	LDAP injection - Authentification	3% 10946	35		g0uZ		7	26 mai 2013
	PHP - preg_replace()	3% 9553	30		sambecks		10	2 mars 2016
	SQL injection - En aveugle	3% 8221	50		g0uZ		10	27 février 2011
	JWT - Secret faible	4% 13216	25		Jrmbt		10	21 août 2019
	Local File Inclusion	8% 26959	30		g0uZ		5	2 octobre 2011
	HTML - Code source	48% 180223	5		g0uZ		8	17 janvier 2006
	SQL injection - Authentification	13% 48804	30		g0uZ		10	27 février 2011
	Ruby on Rails - ransack	1% 72	30		koma		3	23 juin 2025
	PHP - Injection de commande	19% 71254	10		sambecks		10	20 septembre 2017
	File upload - Double extensions	10% 36890	20		g0uZ		10	24 décembre 2012
	XPath injection - En aveugle	1% 2530	75		g0uZ		7	27 décembre 2012
	HTTP - Verb tampering	13% 48782	15		g0uZ		10	5 septembre 2010
	API - Mass Assignment	2% 4240	20		Nishacid , Mika		3	18 janvier 2024
	Insecure Code Management	4% 14838	20		Swissky		10	29 septembre 2019
	File upload - ZIP	3% 10364	30		ghozt		2	3 août 2017
	SQL injection - String	7% 23295	30		g0uZ		7	24 décembre 2012
	File upload - Type MIME	8% 29782	20		g0uZ		10	26 décembre 2012
	XPath injection - Authentification	2% 6979	35		g0uZ		10	27 décembre 2012
	PHP - Filters	6% 20773	25		g0uZ		7	27 février 2011
	SQL injection - Numérique	5% 16131	35		g0uZ		7	24 décembre 2012
	JWT - Header Injection	1% 1611	30		Nishacid , Mika		5	23 février 2023
	XPath injection - String	2% 4152	40		g0uZ		8	26 mai 2013
	PHP - Loose Comparison	3% 7745	30		ghozt		8	10 janvier 2018
	JWT - Introduction	6% 19033	20		Kn0wledge		9	21 août 2019
	PHP - Unserialize Pop Chain	1% 848	55		Worty		6	22 octobre 2021
	Python dotenv	1% 176	70		jrjgjk		5	27 septembre 2024
	Java - Server-side Template Injection	4% 11455	30		righettod		9	29 novembre 2015
	Python - Server-side Template Injection Introduction	2% 5390	25		Podalirius		6	7 septembre 2021
	NodeJS - vm escape	1% 861	50		Podalirius		5	15 avril 2021
	NoSQL injection - En aveugle	1% 3288	45		ghozt		11	26 novembre 2016
	Flask - Unsecure session	1% 3636	20		Sanlokii		2	29 novembre 2023
	Node - Eval	1% 3298	30		Mhd_Root		10	24 février 2021
	Java - Custom gadget deserialisation	1% 314	50		Elweth		3	28 décembre 2023

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
Tora	HTTP - User-agent		7 décembre 2025 to 18:00
anrsdb	HTML - Code source		7 décembre 2025 to 17:59
Tim Broekman	HTTP - User-agent		7 décembre 2025 to 17:57
Watt Issa	SQL injection - Authentification		7 décembre 2025 to 17:56
Rizou	HTTP - POST		7 décembre 2025 to 17:54
Amadeus	CRLF		7 décembre 2025 to 17:54
Tim Broekman	HTTP - Open redirect		7 décembre 2025 to 17:50
gwenn	Install files		7 décembre 2025 to 17:49
Rizou	HTTP - Headers		7 décembre 2025 to 17:48
Tora	Mot de passe faible		7 décembre 2025 to 17:41