Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

96 Challenges

Résultats	Nom	Validations	Nombre de points	Difficulté	Auteur	Note ↓↑	Solution	Date
	JWT - Jeton révoqué	2% 6008	25		ArnC		6	20 mars 2020
	PHP - Remote Xdebug	1% 1491	25		mayfly		10	18 mars 2020
	Nginx - SSRF Misconfiguration	1% 63	30		.Yo0x		2	27 septembre 2024
	SQL injection - Authentification - GBK	3% 9736	30		dvor4x		8	2 décembre 2015
	CRLF	10% 31591	20		g0uZ		6	31 juillet 2011
	Java - Spring Boot	1% 2330	40		dvor4x		6	24 décembre 2016
	NodeJS - Prototype Pollution Bypass	1% 530	45		Worty		5	22 octobre 2021
	GraphQL - Introspection	2% 3627	20		apges01		7	19 janvier 2023
	JWT - Clé publique	2% 3830	30		Jrmbt		10	21 août 2019
	Flask - Development server	1% 916	30		Sanlokii		3	29 novembre 2023
	PHP - Path Truncation	2% 5442	35		Geluchat		7	25 mars 2015
	SQL Injection - Second Order	1% 207	55		k4ndar3c		5	29 novembre 2023
	API - Broken Access 2	1% 420	40		Nishacid , Mika		4	18 janvier 2024
	Mot de passe faible	32% 109075	10		g0uZ		6	4 février 2006
	PHP - Configuration Apache	1% 2365	25		erk3 , nemoz		3	8 juillet 2022
	Fichier de sauvegarde	16% 53845	15		g0uZ		7	27 février 2011
	HTTP - User-agent	24% 83156	10		g0uZ		12	17 janvier 2006
	Nginx - Root Location Misconfiguration	1% 167	15		.Yo0x		3	27 septembre 2024
	Injection de commande - Contournement de filtre	3% 7607	30		sambecks		10	20 septembre 2017
	SQL injection - Contournement de filtres	1% 2879	80		sambecks		5	21 juillet 2014
	GraphQL - Backend injection	1% 430	40		apges01		6	19 janvier 2023
	Install files	13% 43385	15		g0uZ		4	12 février 2006
	File upload - Polyglot	1% 453	45		Cyxo		4	8 juillet 2022
	Server Side Request Forgery	1% 1896	50		sambecks		8	22 juin 2018
	XSLT - Exécution de code	2% 3718	30		ghozt		7	16 juillet 2017
	HTTP - Open redirect	19% 66139	10		Swissky		10	2 août 2017
	API - Broken Access	2% 4153	15		Nishacid , Mika		5	18 janvier 2024
	Python dotenv	1% 25	70		jrjgjk		2	27 septembre 2024
	HTTP - Headers	16% 54152	15		Arod		10	11 janvier 2015
	SQL Injection - Routed	2% 5387	35		soka		10	24 décembre 2016
	Elixir - EEx	1% 267	35		lolo42		1	29 novembre 2023
	JWT - Unsecure Key Handling	1% 757	35		Nishacid , Mika		5	23 février 2023
	PHP - Register globals	5% 15790	25		g0uZ		5	8 octobre 2011
	JWT - Unsecure File Signature	1% 2141	25		Nishacid , Mika		5	23 février 2023
	SQL injection - Insert	1% 3179	40		sambecks		10	23 février 2015
	SQL injection - Lecture de fichiers	2% 6019	40		Arod		7	19 octobre 2014
	SQL injection - Time based	2% 5783	45		ycam		8	11 septembre 2015
	File upload - Null byte	7% 23733	25		g0uZ		5	26 décembre 2012
	SQL Truncation	2% 6750	35		Geluchat		5	1er mai 2015
	HTTP - Contournement de filtrage IP	9% 28491	10		Cyrhades		10	23 mars 2021
	Nginx - Alias Misconfiguration	1% 1789	15		.Yo0x		3	27 septembre 2024
	PHP - Eval	2% 3617	40		chmod		11	8 novembre 2018
	PHP - assert()	5% 15368	25		Birdy42		10	26 novembre 2016
	GraphQL - Injection	1% 757	30		apges01		3	19 janvier 2023
	PHP - Sérialisation	2% 6727	35		Arod		6	3 février 2014
	XML External Entity	2% 5636	35		sambecks		2	20 octobre 2014
	Node - Serialize	1% 1269	35		Mhd_Root		10	24 février 2021
	PHP - Eval - Contournement de filtres avancés	1% 594	40		Podalirius		5	8 juillet 2022
	GraphQL - Mutation	1% 1572	40		CanardMandarin		4	20 octobre 2020
	HTTP - Directory indexing	22% 76766	15		g0uZ		7	5 février 2006
	PHP - Type juggling	3% 8834	30		vic		7	10 mars 2016
	LDAP injection - En aveugle	1% 3456	55		g0uZ		10	8 juin 2013
	HTTP - Redirection invalide	13% 42197	15		Arod		11	26 novembre 2014
	Local File Inclusion - Double encoding	4% 12796	30		zM_		4	13 juin 2016
	SQL injection - Error	3% 7826	40		sambecks		8	4 mars 2015
	NoSQL injection - Authentification	3% 7671	35		mastho		10	31 mai 2015
	HTTP - Cookies	13% 45290	20		g0uZ		10	12 février 2006
	Local File Inclusion - Wrappers	2% 3632	40		sambecks		8	2 mars 2016
	HTTP - POST	14% 48998	15		Th1b4ud		10	14 août 2018
	PHP - Unserialize overflow	1% 776	55		mayfly		4	4 avril 2020
	Directory traversal	10% 35027	25		g0uZ		4	31 juillet 2011
	Remote File Inclusion	4% 11745	30		g0uZ		12	25 novembre 2015
	SQL injection - En aveugle	3% 7653	50		g0uZ		10	27 février 2011
	HTML - Code source	49% 168289	5		g0uZ		7	17 janvier 2006
	XSS - Server Side	1% 2609	20		Elf		7	23 juin 2023
	File upload - Double extensions	10% 34689	20		g0uZ		10	24 décembre 2012
	SQL injection - Authentification	14% 45604	30		g0uZ		10	27 février 2011
	Local File Inclusion	8% 25446	30		g0uZ		5	2 octobre 2011
	PHP - Injection de commande	19% 65755	10		sambecks		10	20 septembre 2017
	JWT - Secret faible	4% 11850	25		Jrmbt		10	21 août 2019
	LDAP injection - Authentification	3% 10334	35		g0uZ		7	26 mai 2013
	PHP - preg_replace()	3% 9037	30		sambecks		10	2 mars 2016
	Insecure Code Management	4% 13638	20		Swissky		10	29 septembre 2019
	File upload - ZIP	3% 9537	30		ghozt		2	3 août 2017
	HTTP - Verb tampering	14% 45940	15		g0uZ		10	5 septembre 2010
	API - Mass Assignment	1% 2661	20		Nishacid , Mika		3	18 janvier 2024
	SQL injection - String	7% 21762	30		g0uZ		7	24 décembre 2012
	XPath injection - En aveugle	1% 2337	75		g0uZ		7	27 décembre 2012
	Python - SSTI contournement de filtres en aveugle	1% 658	75		Podalirius		8	7 septembre 2021
	JWT - Header Injection	1% 1160	30		Nishacid , Mika		5	23 février 2023
	File upload - Type MIME	8% 27806	20		g0uZ		10	26 décembre 2012
	XPath injection - Authentification	2% 6597	35		g0uZ		10	27 décembre 2012
	XPath injection - String	2% 3919	40		g0uZ		8	26 mai 2013
	SQL injection - Numérique	5% 15017	35		g0uZ		7	24 décembre 2012
	PHP - Filters	6% 19592	25		g0uZ		7	27 février 2011
	PHP - Loose Comparison	3% 7254	30		ghozt		7	10 janvier 2018
	JWT - Introduction	5% 17095	20		Kn0wledge		9	21 août 2019
	PHP - Unserialize Pop Chain	1% 683	55		Worty		5	22 octobre 2021
	Java - Server-side Template Injection	4% 10589	30		righettod		9	29 novembre 2015
	Python - Server-side Template Injection Introduction	2% 4467	25		Podalirius		6	7 septembre 2021
	NoSQL injection - En aveugle	1% 3014	45		ghozt		11	26 novembre 2016
	NodeJS - vm escape	1% 741	50		Podalirius		4	15 avril 2021
	Node - Eval	1% 2921	30		Mhd_Root		10	24 février 2021
	Yaml - Deserialization	1% 1392	35		Nishacid		10	20 avril 2021
	Java - Custom gadget deserialisation	1% 169	50		Elweth		3	28 décembre 2023
	Flask - Unsecure session	1% 2481	20		Sanlokii		2	29 novembre 2023

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
la_chose.ini	HTTP - Headers		18 janvier 2025 to 06:09
denis_izum	Backup file		18 janvier 2025 to 05:57
Jayce	File upload - Double extensions		18 janvier 2025 to 05:36
MartPupuce	API - Mass Assignment		18 janvier 2025 to 04:31
MartPupuce	HTTP - User-agent		18 janvier 2025 to 04:14
pavouuu	HTTP - POST		18 janvier 2025 to 04:10
MartPupuce	HTTP - POST		18 janvier 2025 to 04:01
MartPupuce	HTML - Code source		18 janvier 2025 to 03:58
koma	File upload - Polyglot		18 janvier 2025 to 03:37
Issouvite	HTML - Code source		18 janvier 2025 to 03:28