Web - Client

Apprenez à exploiter les failles des applications web pour impacter leurs utilisateurs ou contourner des mécanismes de sécurité côté client.

Cette série d’épreuves vous confronte à l’utilisation de langage de script/programmation côté client. Ce sont principalement des scripts à analyser et à comprendre, pour en trouver des vulnérabilités exploitables. Cela permet aussi de se familiariser avec ces langages, dont l’utilisation est très répandue sur Internet.

Prérequis :
– Maitriser un langage de script "web côté client", par exemple javascript ;
– Maitriser le fonctionnement d’un débogueur, par exemple firebug / console javascript.

42 Challenges

Résultats	Nom ↓↑	Validations	Nombre de points	Difficulté	Auteur	Note	Solution	Date
	AST - Deobfuscation	1% 1805	35		mhoste , Lxt3h		10	27 juin 2023
	Browser - bfcache / disk cache	1% 62	65		Mizu		2	28 juillet 2023
	CSP Bypass - Dangling markup	1% 1783	45		CanardMandarin		2	27 octobre 2020
	CSP Bypass - Dangling markup 2	1% 1471	50		CanardMandarin		5	27 octobre 2020
	CSP Bypass - Inline code	2% 5760	35		CanardMandarin		10	27 octobre 2020
	CSP Bypass - JSONP	1% 1443	45		CanardMandarin		10	27 octobre 2020
	CSP Bypass - Nonce	1% 1041	50		Ruulian		10	8 avril 2022
	CSP Bypass - Nonce 2	1% 587	35		Ruulian		1	27 juin 2023
	CSPT - The Ruler	1% 31	60		Rolix , Mizu		1	27 septembre 2024
	CSRF - 0 protection	6% 20951	35		sambecks		7	16 février 2016
	CSRF - contournement de jeton	3% 7455	45		sambecks		10	18 février 2016
	CSS - Exfiltration	1% 655	50		Forgi , gwel		8	8 avril 2022
	DOM Clobbering	1% 390	60		Mizu		4	8 avril 2022
	Flash - Authentification	2% 6430	40		koma		9	18 juin 2012
	HTML - boutons désactivés	44% 156523	5		Final		10	16 juillet 2017
	HTTP Response Splitting	1% 2437	70		Arod		6	7 novembre 2013
	Javascript - Authentification	47% 164993	5		g0uZ		7	8 octobre 2006
	Javascript - Authentification 2	41% 144080	10		na5sim		3	20 août 2010
	Javascript - Native code	25% 87526	15		g0uZ		11	13 mars 2011
	Javascript - Obfuscation 1	39% 136527	10		Hel0ck		10	25 décembre 2010
	Javascript - Obfuscation 2	33% 118030	10		Hel0ck		10	25 décembre 2010
	Javascript - Obfuscation 3	18% 64518	30		Hel0ck		10	27 décembre 2010
	Javascript - Obfuscation 4	2% 6926	50		aaSSfxxx		9	18 juillet 2011
	Javascript - Obfuscation 5	1% 800	70		Hel0ck		9	31 décembre 2010
	Javascript - Obfuscation 6	1% 113	60		n3rada		2	27 avril 2023
	Javascript - Source	44% 156102	5		g0uZ		4	5 février 2006
	Javascript - Webpack	8% 27457	15		CanardMandarin		7	11 août 2020
	Relative Path Overwrite	1% 175	50		Mizu		3	28 juillet 2023
	Same Origin Method Execution	1% 41	90		Mizu		1	28 juillet 2023
	Self XSS - DOM Secrets	1% 244	55		Mizu		3	28 juillet 2023
	Self XSS - Race Condition	1% 90	60		Mizu		2	28 juillet 2023
	Web Socket - 0 protection	1% 919	35		Worty		6	22 octobre 2021
	XS Leaks	1% 194	75		Mizu		3	8 avril 2022
	XSS - DOM Based	1% 862	85		vic		10	24 décembre 2016
	XSS - Stockée 1	12% 41142	30		g0uZ		10	3 mars 2012
	XSS - Stockée 2	3% 9520	50		g0uZ		5	4 mars 2012
	XSS - Stored - contournement de filtres	1% 1544	80		Arod , sambecks		10	2 janvier 2016
	XSS - Volatile	2% 6426	45		pickle		8	16 mars 2018
	XSS DOM Based - AngularJS	1% 2633	40		Ruulian		8	12 août 2021
	XSS DOM Based - Eval	1% 2937	40		Ruulian		10	12 août 2021
	XSS DOM Based - Filters Bypass	1% 1529	50		Ruulian		10	12 août 2021
	XSS DOM Based - Introduction	2% 6126	35		Ruulian		8	12 août 2021

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
SRMousavi	XSS - Stored 1		7 avril 2025 to 19:21
Akira	XSS - Volatile		7 avril 2025 to 19:18
KangTheConq	XSS DOM Based - AngularJS		7 avril 2025 to 19:15
Akira	XSS DOM Based - AngularJS		7 avril 2025 to 19:12
fesk	Javascript - Authentication		7 avril 2025 to 19:01
Minepop	Javascript - Obfuscation 3		7 avril 2025 to 18:52
svr	Javascript - Native code		7 avril 2025 to 18:45
SRMousavi	XSS DOM Based - Eval		7 avril 2025 to 18:44
garuga	Javascript - Webpack		7 avril 2025 to 18:42
svr	Javascript - Obfuscation 2		7 avril 2025 to 18:40