Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
- Connaitre un langage "web serveur", par exemple PHP ;
- Connaitre le langage SQL ;
- Connaitre le protocole HTTP ;
- Maitriser un navigateur web.

 64 Challenges

Résultats Nom Validations Nombre de points  Explications sur les scores Difficulté  Difficulté Auteur Note   Notation Solution
pas_valide JWT - Jeton révoqué 1% 729 25 ArnC 4
pas_valide CRLF 10% 17664 20 g0uZ 5
pas_valide SQL injection - Authentification - GBK 3% 5150 30 dvor4x 7
pas_valide Java - Spring Boot 1% 1359 40 dvor4x 6
pas_valide PHP - Path Truncation 2% 3526 35 Geluchat 6
pas_valide PHP - Remote Xdebug 1% 313 25 mayfly 10
pas_valide Mot de passe faible 34% 63318 10 g0uZ 4
pas_valide HTTP - User-agent 25% 45687 10 g0uZ 12
pas_valide Fichier de sauvegarde 17% 31862 15 g0uZ 6
pas_valide JSON Web Token (JWT) - Clé publique 1% 1401 30 Jrmbt 7
pas_valide XSLT - Exécution de code 2% 2017 30 ghozt 6
pas_valide Injection de commande - Contournement de filtre 3% 3830 30 sambecks 10
pas_valide SQL injection - Contournement de filtres 1% 1323 80 sambecks 4
pas_valide HTTP - Headers 16% 29980 15 Arod 10
pas_valide HTTP - Open redirect 18% 33960 10 Swissky 10
pas_valide Install files 15% 26497 15 g0uZ 3
pas_valide SQL injection - Time based 2% 2945 45 ycam 3
pas_valide Server Side Request Forgery 1% 702 50 sambecks 7
pas_valide PHP - Unserialize overflow 1% 201 40 mayfly 2
pas_valide SQL Injection - Routed 2% 2529 35 soka 9
pas_valide SQL Truncation 3% 3823 35 Geluchat 5
pas_valide File upload - Null byte 8% 14239 25 g0uZ 4
pas_valide PHP - Register globals 6% 10286 25 g0uZ 3
pas_valide LDAP injection - En aveugle 1% 1882 55 g0uZ 10
pas_valide SQL injection - Lecture de fichiers 2% 3114 40 Arod 7
pas_valide PHP - assert() 5% 8440 25 Birdy42 10
pas_valide HTTP - POST 13% 22721 15 Th1b4ud 9
pas_valide PHP - Type juggling 3% 5649 30 vic 7
pas_valide LDAP injection - Authentification 4% 6188 35 g0uZ 6
pas_valide PHP - Sérialisation 3% 4291 35 Arod 6
pas_valide SQL injection - Insert 1% 1697 40 sambecks 10
pas_valide NoSQL injection - Authentification 3% 4712 35 mastho 9
pas_valide SQL injection - En aveugle 3% 4328 50 g0uZ 10
pas_valide HTTP - Cookies 14% 25031 20 g0uZ 9
pas_valide HTTP - Directory indexing 24% 44177 15 g0uZ 6
pas_valide File upload - ZIP 3% 5094 30 ghozt 2
pas_valide XML External Entity 2% 2921 35 sambecks 1
pas_valide JSON Web Token (JWT) - Secret faible 2% 3336 25 Jrmbt 6
pas_valide Directory traversal 11% 20496 25 g0uZ 2
pas_valide File upload - Double extensions 11% 20034 20 g0uZ 10
pas_valide HTTP - Redirection invalide 13% 23325 15 Arod 11
pas_valide Local File Inclusion - Double encoding 5% 7642 30 zM_ 3
pas_valide Insecure Code Management 3% 4315 20 Swissky 9
pas_valide XPath injection - Authentification 3% 4478 35 g0uZ 10
pas_valide Local File Inclusion - Wrappers 2% 1895 40 sambecks 8
pas_valide PHP - Eval 1% 1673 40 chmod 11
pas_valide HTML - Code source 49% 91738 5 g0uZ 5
pas_valide HTTP - Verb tampering 15% 26618 15 g0uZ 10
pas_valide Remote File Inclusion 4% 6846 30 g0uZ 12
pas_valide SQL injection - Authentification 13% 23491 30 g0uZ 10
pas_valide SQL injection - Error 3% 4066 40 sambecks 7
pas_valide PHP - preg_replace() 4% 5811 30 sambecks 10
pas_valide File upload - Type MIME 9% 15680 20 g0uZ 8
pas_valide Local File Inclusion 9% 15741 30 g0uZ 2
pas_valide SQL injection - String 6% 10874 30 g0uZ 7
pas_valide PHP - Injection de commande 18% 32469 10 sambecks 10
pas_valide PHP - Filters 7% 12401 25 g0uZ 6
pas_valide XPath injection - En aveugle 1% 1295 75 g0uZ 6
pas_valide SQL injection - Numérique 5% 8058 35 g0uZ 5
pas_valide PHP - Loose Comparison 3% 4007 30 ghozt 6
pas_valide Java - Server-side Template Injection 4% 5936 30 righettod 6
pas_valide XPath injection - String 2% 2534 40 g0uZ 8
pas_valide JSON Web Token (JWT) - Introduction 3% 4847 20 Kn0wledge 5
pas_valide NoSQL injection - En aveugle 1% 1745 45 ghozt 11

Résultats des challenges Résultats des challenges

Pseudonyme Epreuve Langue Date
dblasko   HTTP - Verb tampering 15 août 2020 à 13:33
notAPilot   HTTP - Open redirect 15 août 2020 à 13:33
0bz3n   CRLF 15 août 2020 à 13:32
MrGag   Directory traversal 15 août 2020 à 13:26
FayBlod   HTML - Code source 15 août 2020 à 13:24
dblasko   HTTP - Improper redirect 15 août 2020 à 13:23
MrGag   JSON Web Token (JWT) - Introduction 15 août 2020 à 13:12
fennecz   PHP - Eval 15 août 2020 à 13:09
0bz3n   Install files 15 août 2020 à 12:58
0bz3n   HTTP - Verb tampering 15 août 2020 à 12:54