Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
- Connaitre un langage "web serveur", par exemple PHP ;
- Connaitre le langage SQL ;
- Connaitre le protocole HTTP ;
- Maitriser un navigateur web.

Challenges publiés dans cette rubrique 56 Challenges

Résultats Nom de l'épreuve Validations Nombre de points   Explications sur les scores Difficulté  Difficulté Auteur Note  Notation Solution
pas_valide HTML 50% 48855 5 g0uZ 2
pas_valide HTTP - Open redirect 14% 13071 10 Swissky 10
pas_valide Injection de commande 13% 12217 10 sambecks 10
pas_valide Mot de passe faible 39% 37624 10 g0uZ 3
pas_valide User-agent 26% 25264 10 g0uZ 12
pas_valide Fichier de sauvegarde 20% 19116 15 g0uZ 5
pas_valide HTTP - POST 4% 3549 15 Th1b4ud 9
pas_valide HTTP directory indexing 26% 25624 15 g0uZ 5
pas_valide HTTP Headers 17% 16722 15 Arod 8
pas_valide HTTP verb tampering 16% 15634 15 g0uZ 12
pas_valide Install files 17% 16101 15 g0uZ 2
pas_valide Redirection invalide 13% 12568 15 Arod 11
pas_valide HTTP cookies 15% 14375 20 g0uZ 8
pas_valide File upload - double extensions 12% 11723 20 g0uZ 9
pas_valide File upload - type MIME 10% 8949 20 g0uZ 7
pas_valide CRLF 10% 9812 20 g0uZ 2
pas_valide Directory traversal 13% 12140 25 g0uZ 2
pas_valide File upload - null byte 9% 8436 25 g0uZ 3
pas_valide PHP assert() 5% 4248 25 Birdy42 10
pas_valide PHP filters 8% 7583 25 g0uZ 5
pas_valide PHP register globals 7% 6305 25 g0uZ 2
pas_valide XSLT - Code execution 1% 856 30 ghozt 6
pas_valide SQL injection - string 7% 6335 30 g0uZ 7
pas_valide SQL injection - authentification - GBK 3% 2481 30 dvor4x 7
pas_valide SQL injection - authentification 14% 13593 30 g0uZ 10
pas_valide Server-side Template Injection 4% 3487 30 righettod 5
pas_valide Remote File Inclusion 5% 4296 30 g0uZ 12
pas_valide PHP type juggling 4% 3277 30 vic511 7
pas_valide PHP - Loose Comparison 2% 1441 30 ghozt 5
pas_valide Local File Inclusion - Double encoding 5% 4449 30 zM 3
pas_valide Local File Inclusion 10% 9707 30 g0uZ 1
pas_valide Injection de commande - contournement de filtre 2% 1487 30 sambecks 6
pas_valide File upload - ZIP 2% 1954 30 ghozt 2
pas_valide PHP preg_replace() 4% 3503 30 sambecks 9
pas_valide SQL Injection - Routed 2% 1173 35 soka 9
pas_valide XPath injection - authentification 3% 2961 35 g0uZ 8
pas_valide SQL Truncation 3% 2297 35 Geluchat 5
pas_valide XML External Entity 2% 1561 35 sambecks 1
pas_valide SQL injection - numérique 6% 5128 35 g0uZ 4
pas_valide Path Truncation 3% 2034 35 Geluchat 5
pas_valide NoSQL injection - authentification 3% 2818 35 mastho 8
pas_valide LDAP injection - authentification 5% 4024 35 g0uZ 6
pas_valide PHP Sérialisation 3% 2767 35 Arod 5
pas_valide SQL injection - Insert 1% 965 40 sambecks 10
pas_valide XPath injection - string 2% 1623 40 g0uZ 8
pas_valide SQL injection - lecture de fichiers 2% 1907 40 Arod 5
pas_valide SQL injection - Error 3% 2336 40 sambecks 6
pas_valide Local File Inclusion - Wrappers 1% 984 40 sambecks 4
pas_valide Java - Spring Boot 1% 619 40 dvor4x 5
pas_valide NoSQL injection - en aveugle 1% 908 45 ghozt 10
pas_valide SQL injection - Time based 2% 1731 45 ycam 3
pas_valide Server Side Request Forgery 1% 164 50 sambecks 3
pas_valide SQL injection - en aveugle 4% 3018 50 g0uZ 9
pas_valide LDAP injection - en aveugle 2% 1164 55 g0uZ 10
pas_valide XPath injection - en aveugle 1% 741 75 g0uZ 4
pas_valide SQL injection - contournement de filtres 1% 678 80 sambecks 4

Résultats des challenges Résultats des challenges

Pseudonyme Epreuve Langue Date
JOSHUA OWENS   Command injection en 16 octobre 2018 à 00:31
JOSHUA OWENS   HTTP - Open redirect en 16 octobre 2018 à 00:28
brioud_b   PHP register globals fr 16 octobre 2018 à 00:18
segfilou   PHP register globals fr 16 octobre 2018 à 00:18
brioud_b   PHP filters fr 16 octobre 2018 à 00:12
segfilou   PHP filters fr 16 octobre 2018 à 00:12
moeebius   PHP filters fr 16 octobre 2018 à 00:01
JOSHUA OWENS   HTML en 15 octobre 2018 à 23:56
tétraheadrik   HTTP directory indexing fr 15 octobre 2018 à 23:53
tétraheadrik   HTTP - POST fr 15 octobre 2018 à 23:51