Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

97 Challenges

Résultats	Nom ↓↑	Validations	Nombre de points	Difficulté	Auteur	Note	Solution	Date
	API - Broken Access	2% 7585	15		Nishacid , Mika		5	18 janvier 2024
	API - Broken Access 2	1% 804	40		Nishacid , Mika		4	18 janvier 2024
	API - Mass Assignment	2% 4461	20		Nishacid , Mika		3	18 janvier 2024
	CRLF	9% 33373	20		g0uZ		6	31 juillet 2011
	Directory traversal	10% 37597	25		g0uZ		4	31 juillet 2011
	Elixir - EEx	1% 488	35		lolo42		3	29 novembre 2023
	Fichier de sauvegarde	15% 57305	15		g0uZ		7	27 février 2011
	File upload - Double extensions	10% 37188	20		g0uZ		10	24 décembre 2012
	File upload - Null byte	7% 25548	25		g0uZ		5	26 décembre 2012
	File upload - Polyglot	1% 623	45		Cyxo		4	8 juillet 2022
	File upload - Type MIME	8% 30004	20		g0uZ		10	26 décembre 2012
	File upload - ZIP	3% 10458	30		ghozt		2	3 août 2017
	Flask - Development server	1% 1407	30		Sanlokii		3	29 novembre 2023
	Flask - Unsecure session	1% 3781	20		Sanlokii		2	29 novembre 2023
	GraphQL - Backend injection	1% 588	40		apges01		6	19 janvier 2023
	GraphQL - Injection	1% 1115	30		apges01		3	19 janvier 2023
	GraphQL - Introspection	2% 4779	20		apges01		7	19 janvier 2023
	GraphQL - Mutation	1% 1753	40		CanardMandarin		4	20 octobre 2020
	HTML - Code source	48% 181741	5		g0uZ		8	17 janvier 2006
	HTTP - Contournement de filtrage IP	10% 34650	10		Cyrhades		10	23 mars 2021
	HTTP - Cookies	13% 48497	20		g0uZ		10	12 février 2006
	HTTP - Directory indexing	22% 82137	15		g0uZ		7	5 février 2006
	HTTP - Headers	16% 58267	15		Arod		10	11 janvier 2015
	HTTP - Open redirect	19% 71720	10		Swissky		10	2 août 2017
	HTTP - POST	14% 53340	15		Th1b4ud		10	14 août 2018
	HTTP - Redirection invalide	12% 45305	15		Arod		11	26 novembre 2014
	HTTP - User-agent	24% 89956	10		g0uZ		12	17 janvier 2006
	HTTP - Verb tampering	13% 49154	15		g0uZ		10	5 septembre 2010
	Injection de commande - Contournement de filtre	3% 8363	30		sambecks		10	20 septembre 2017
	Insecure Code Management	4% 15004	20		Swissky		10	29 septembre 2019
	Install files	13% 46333	15		g0uZ		4	12 février 2006
	JWT - Clé publique	2% 4414	30		Jrmbt		10	21 août 2019
	JWT - Header Injection	1% 1653	30		Nishacid , Mika		5	23 février 2023
	JWT - Introduction	6% 19273	20		Kn0wledge		9	21 août 2019
	JWT - Jeton révoqué	2% 7100	25		ArnC		6	20 mars 2020
	JWT - Secret faible	4% 13358	25		Jrmbt		10	21 août 2019
	JWT - Unsecure File Signature	1% 3037	25		Nishacid , Mika		6	23 février 2023
	JWT - Unsecure Key Handling	1% 1093	35		Nishacid , Mika		5	23 février 2023
	Java - Custom gadget deserialisation	1% 335	50		Elweth		3	28 décembre 2023
	Java - Server-side Template Injection	4% 11556	30		righettod		9	29 novembre 2015
	Java - Spring Boot	1% 2503	40		dvor4x		6	24 décembre 2016
	LDAP injection - Authentification	3% 11032	35		g0uZ		7	26 mai 2013
	LDAP injection - En aveugle	1% 3711	55		g0uZ		10	8 juin 2013
	Local File Inclusion	8% 27170	30		g0uZ		5	2 octobre 2011
	Local File Inclusion - Double encoding	4% 13780	30		zM_		4	13 juin 2016
	Local File Inclusion - Wrappers	2% 4010	40		sambecks		8	2 mars 2016
	Mot de passe faible	31% 116924	10		g0uZ		6	4 février 2006
	Nginx - Alias Misconfiguration	2% 4417	15		.Yo0x		3	27 septembre 2024
	Nginx - Root Location Misconfiguration	1% 2849	15		.Yo0x		5	27 septembre 2024
	Nginx - SSRF Misconfiguration	1% 725	30		.Yo0x		3	27 septembre 2024
	NoSQL injection - Authentification	3% 8240	35		mastho		10	31 mai 2015
	NoSQL injection - En aveugle	1% 3320	45		ghozt		11	26 novembre 2016
	Node - Eval	1% 3349	30		Mhd_Root		10	24 février 2021
	Node - Serialize	1% 1517	35		Mhd_Root		10	24 février 2021
	NodeJS - Prototype Pollution Bypass	1% 636	45		Worty		5	22 octobre 2021
	NodeJS - vm escape	1% 885	50		Podalirius		5	15 avril 2021
	PHP - Configuration Apache	1% 3027	25		erk3 , nemoz		3	8 juillet 2022
	PHP - Eval	2% 3988	40		chmod		11	8 novembre 2018
	PHP - Eval - Contournement de filtres avancés	1% 747	40		Podalirius		5	8 juillet 2022
	PHP - Filters	6% 20901	25		g0uZ		7	27 février 2011
	PHP - Injection de commande	19% 71956	10		sambecks		10	20 septembre 2017
	PHP - Loose Comparison	3% 7825	30		ghozt		8	10 janvier 2018
	PHP - Path Truncation	2% 5767	35		Geluchat		7	25 mars 2015
	PHP - Register globals	5% 16788	25		g0uZ		5	8 octobre 2011
	PHP - Remote Xdebug	1% 1664	25		mayfly		10	18 mars 2020
	PHP - Sérialisation	2% 7197	35		Arod		6	3 février 2014
	PHP - Type juggling	3% 9405	30		vic		7	10 mars 2016
	PHP - Unserialize Pop Chain	1% 865	55		Worty		6	22 octobre 2021
	PHP - Unserialize overflow	1% 870	55		mayfly		4	4 avril 2020
	PHP - assert()	5% 16520	25		Birdy42		10	26 novembre 2016
	PHP - preg_replace()	3% 9626	30		sambecks		10	2 mars 2016
	Python - SSTI contournement de filtres en aveugle	1% 810	75		Podalirius		9	7 septembre 2021
	Python - Server-side Template Injection Introduction	2% 5518	25		Podalirius		6	7 septembre 2021
	Python dotenv	1% 198	70		jrjgjk		5	27 septembre 2024
	Remote File Inclusion	4% 12583	30		g0uZ		12	25 novembre 2015
	Ruby on Rails - ransack	1% 156	30		koma		3	23 juin 2025
	SQL Injection - Routed	2% 5890	35		soka		10	24 décembre 2016
	SQL Injection - Second Order	1% 303	55		k4ndar3c		5	29 novembre 2023
	SQL Truncation	2% 7336	35		Geluchat		5	1er mai 2015
	SQL injection - Authentification	13% 49204	30		g0uZ		10	27 février 2011
	SQL injection - Authentification - GBK	3% 10679	30		dvor4x		8	2 décembre 2015
	SQL injection - Contournement de filtres	1% 3283	80		sambecks		5	21 juillet 2014
	SQL injection - En aveugle	3% 8297	50		g0uZ		10	27 février 2011
	SQL injection - Error	3% 8707	40		sambecks		9	4 mars 2015
	SQL injection - Insert	1% 3426	40		sambecks		10	23 février 2015
	SQL injection - Lecture de fichiers	2% 6424	40		Arod		7	19 octobre 2014
	SQL injection - Numérique	5% 16266	35		g0uZ		7	24 décembre 2012
	SQL injection - String	7% 23504	30		g0uZ		7	24 décembre 2012
	SQL injection - Time based	2% 6268	45		ycam		8	11 septembre 2015
	Server Side Request Forgery	1% 2081	50		sambecks		8	22 juin 2018
	XML External Entity	2% 6071	35		sambecks		2	20 octobre 2014
	XPath injection - Authentification	2% 7009	35		g0uZ		10	27 décembre 2012
	XPath injection - En aveugle	1% 2549	75		g0uZ		7	27 décembre 2012
	XPath injection - String	2% 4172	40		g0uZ		8	26 mai 2013
	XSLT - Exécution de code	2% 4032	30		ghozt		7	16 juillet 2017
	XSS - Server Side	1% 3719	20		Elf		8	23 juin 2023
	Yaml - Deserialization	1% 1640	35		Nishacid		10	20 avril 2021

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
cosmo	File upload - Null byte		17 janvier 2026 to 11:53
cosmo	SQL injection - Authentification		17 janvier 2026 to 11:43
kota31	NodeJS - Prototype Pollution Bypass		17 janvier 2026 to 11:38
Maxou_	Ruby on Rails - ransack		17 janvier 2026 to 11:26
LuluBoltzmann	Local File Inclusion		17 janvier 2026 to 11:26
virtix	HTTP - Verb tampering		17 janvier 2026 to 11:22
ayman	HTTP - User-agent		17 janvier 2026 to 11:20
virtix	HTTP - POST		17 janvier 2026 to 11:18
Hữu Thiện	SQL injection - Error		17 janvier 2026 to 11:11
Laurent	SQL injection - Authentification		17 janvier 2026 to 11:10