Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

96 Challenges

Résultats	Nom	Validations	Nombre de points	Difficulté	Auteur	Note	Solution	Date
	HTML - Code source	49% 168810	5		g0uZ		8	17 janvier 2006
	HTTP - Contournement de filtrage IP	9% 28699	10		Cyrhades		10	23 mars 2021
	HTTP - Open redirect	19% 66358	10		Swissky		10	2 août 2017
	HTTP - User-agent	24% 83428	10		g0uZ		12	17 janvier 2006
	Mot de passe faible	32% 109356	10		g0uZ		6	4 février 2006
	PHP - Injection de commande	19% 66003	10		sambecks		10	20 septembre 2017
	API - Broken Access	2% 4263	15		Nishacid , Mika		5	18 janvier 2024
	Fichier de sauvegarde	16% 53960	15		g0uZ		7	27 février 2011
	HTTP - Directory indexing	22% 76949	15		g0uZ		7	5 février 2006
	HTTP - Headers	16% 54301	15		Arod		10	11 janvier 2015
	HTTP - POST	14% 49168	15		Th1b4ud		10	14 août 2018
	HTTP - Redirection invalide	13% 42307	15		Arod		11	26 novembre 2014
	HTTP - Verb tampering	14% 46059	15		g0uZ		10	5 septembre 2010
	Install files	13% 43490	15		g0uZ		4	12 février 2006
	Nginx - Alias Misconfiguration	1% 1881	15		.Yo0x		3	27 septembre 2024
	Nginx - Root Location Misconfiguration	1% 170	15		.Yo0x		3	27 septembre 2024
	API - Mass Assignment	1% 2725	20		Nishacid , Mika		3	18 janvier 2024
	CRLF	10% 31657	20		g0uZ		6	31 juillet 2011
	File upload - Double extensions	10% 34767	20		g0uZ		10	24 décembre 2012
	File upload - Type MIME	8% 27878	20		g0uZ		10	26 décembre 2012
	Flask - Unsecure session	1% 2529	20		Sanlokii		2	29 novembre 2023
	GraphQL - Introspection	2% 3662	20		apges01		7	19 janvier 2023
	HTTP - Cookies	13% 45413	20		g0uZ		10	12 février 2006
	Insecure Code Management	4% 13681	20		Swissky		10	29 septembre 2019
	JWT - Introduction	5% 17169	20		Kn0wledge		9	21 août 2019
	XSS - Server Side	1% 2662	20		Elf		7	23 juin 2023
	Directory traversal	10% 35114	25		g0uZ		4	31 juillet 2011
	File upload - Null byte	7% 23813	25		g0uZ		5	26 décembre 2012
	JWT - Jeton révoqué	2% 6041	25		ArnC		6	20 mars 2020
	JWT - Secret faible	4% 11915	25		Jrmbt		10	21 août 2019
	JWT - Unsecure File Signature	1% 2172	25		Nishacid , Mika		5	23 février 2023
	PHP - assert()	5% 15421	25		Birdy42		10	26 novembre 2016
	PHP - Configuration Apache	1% 2390	25		erk3 , nemoz		3	8 juillet 2022
	PHP - Filters	6% 19643	25		g0uZ		7	27 février 2011
	PHP - Register globals	5% 15819	25		g0uZ		5	8 octobre 2011
	PHP - Remote Xdebug	1% 1495	25		mayfly		10	18 mars 2020
	Python - Server-side Template Injection Introduction	2% 4503	25		Podalirius		6	7 septembre 2021
	File upload - ZIP	3% 9561	30		ghozt		2	3 août 2017
	Flask - Development server	1% 934	30		Sanlokii		3	29 novembre 2023
	GraphQL - Injection	1% 762	30		apges01		3	19 janvier 2023
	Injection de commande - Contournement de filtre	3% 7627	30		sambecks		10	20 septembre 2017
	Java - Server-side Template Injection	4% 10620	30		righettod		9	29 novembre 2015
	JWT - Clé publique	2% 3845	30		Jrmbt		10	21 août 2019
	JWT - Header Injection	1% 1175	30		Nishacid , Mika		5	23 février 2023
	Local File Inclusion	8% 25502	30		g0uZ		5	2 octobre 2011
	Local File Inclusion - Double encoding	4% 12834	30		zM_		4	13 juin 2016
	Nginx - SSRF Misconfiguration	1% 65	30		.Yo0x		2	27 septembre 2024
	Node - Eval	1% 2942	30		Mhd_Root		10	24 février 2021
	PHP - Loose Comparison	3% 7274	30		ghozt		7	10 janvier 2018
	PHP - preg_replace()	3% 9058	30		sambecks		10	2 mars 2016
	PHP - Type juggling	3% 8853	30		vic		7	10 mars 2016
	Remote File Inclusion	4% 11786	30		g0uZ		12	25 novembre 2015
	SQL injection - Authentification	14% 45775	30		g0uZ		10	27 février 2011
	SQL injection - Authentification - GBK	3% 9780	30		dvor4x		8	2 décembre 2015
	SQL injection - String	7% 21852	30		g0uZ		7	24 décembre 2012
	XSLT - Exécution de code	2% 3724	30		ghozt		7	16 juillet 2017
	Elixir - EEx	1% 267	35		lolo42		2	29 novembre 2023
	JWT - Unsecure Key Handling	1% 768	35		Nishacid , Mika		5	23 février 2023
	LDAP injection - Authentification	3% 10364	35		g0uZ		7	26 mai 2013
	Node - Serialize	1% 1280	35		Mhd_Root		10	24 février 2021
	NoSQL injection - Authentification	3% 7686	35		mastho		10	31 mai 2015
	PHP - Path Truncation	2% 5448	35		Geluchat		7	25 mars 2015
	PHP - Sérialisation	2% 6742	35		Arod		6	3 février 2014
	SQL injection - Numérique	5% 15075	35		g0uZ		7	24 décembre 2012
	SQL Injection - Routed	2% 5411	35		soka		10	24 décembre 2016
	SQL Truncation	2% 6768	35		Geluchat		5	1er mai 2015
	XML External Entity	2% 5644	35		sambecks		2	20 octobre 2014
	XPath injection - Authentification	2% 6609	35		g0uZ		10	27 décembre 2012
	Yaml - Deserialization	1% 1402	35		Nishacid		10	20 avril 2021
	API - Broken Access 2	1% 439	40		Nishacid , Mika		4	18 janvier 2024
	GraphQL - Backend injection	1% 434	40		apges01		6	19 janvier 2023
	GraphQL - Mutation	1% 1575	40		CanardMandarin		4	20 octobre 2020
	Java - Spring Boot	1% 2339	40		dvor4x		6	24 décembre 2016
	Local File Inclusion - Wrappers	2% 3642	40		sambecks		8	2 mars 2016
	PHP - Eval	2% 3634	40		chmod		11	8 novembre 2018
	PHP - Eval - Contournement de filtres avancés	1% 599	40		Podalirius		5	8 juillet 2022
	SQL injection - Error	3% 7859	40		sambecks		8	4 mars 2015
	SQL injection - Insert	1% 3190	40		sambecks		10	23 février 2015
	SQL injection - Lecture de fichiers	2% 6022	40		Arod		7	19 octobre 2014
	XPath injection - String	2% 3928	40		g0uZ		8	26 mai 2013
	File upload - Polyglot	1% 455	45		Cyxo		4	8 juillet 2022
	NodeJS - Prototype Pollution Bypass	1% 535	45		Worty		5	22 octobre 2021
	NoSQL injection - En aveugle	1% 3025	45		ghozt		11	26 novembre 2016
	SQL injection - Time based	2% 5802	45		ycam		8	11 septembre 2015
	Java - Custom gadget deserialisation	1% 172	50		Elweth		3	28 décembre 2023
	NodeJS - vm escape	1% 743	50		Podalirius		4	15 avril 2021
	Server Side Request Forgery	1% 1903	50		sambecks		8	22 juin 2018
	SQL injection - En aveugle	3% 7676	50		g0uZ		10	27 février 2011
	LDAP injection - En aveugle	1% 3466	55		g0uZ		10	8 juin 2013
	PHP - Unserialize overflow	1% 780	55		mayfly		4	4 avril 2020
	PHP - Unserialize Pop Chain	1% 690	55		Worty		6	22 octobre 2021
	SQL Injection - Second Order	1% 211	55		k4ndar3c		5	29 novembre 2023
	Python dotenv	1% 25	70		jrjgjk		2	27 septembre 2024
	Python - SSTI contournement de filtres en aveugle	1% 663	75		Podalirius		8	7 septembre 2021
	XPath injection - En aveugle	1% 2342	75		g0uZ		7	27 décembre 2012
	SQL injection - Contournement de filtres	1% 2892	80		sambecks		5	21 juillet 2014

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
Had	Java - Server-side Template Injection		26 janvier 2025 to 14:10
Kintaki__	HTML - Code source		26 janvier 2025 to 14:04
Jiza	Install files		26 janvier 2025 to 14:01
darkskysofrenia	HTTP - Contournement de filtrage IP		26 janvier 2025 to 13:59
d0v4	Injection de commande - Contournement de filtre		26 janvier 2025 to 13:56
peperoni_pizza	PHP - Command injection		26 janvier 2025 to 13:48
Jesiontrop	GraphQL - Introspection		26 janvier 2025 to 13:44
salomonkain	HTTP - User-agent		26 janvier 2025 to 13:40
bot1357	SQL injection - Blind		26 janvier 2025 to 13:21
Rodion	HTTP - Open redirect		26 janvier 2025 to 13:09