Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

92 Challenges

Résultats	Nom	Validations	Nombre de points	Difficulté	Auteur	Note	Solution ↓↑	Date
	Remote File Inclusion	4% 11484	30		g0uZ		12	25 novembre 2015
	HTTP - User-agent	24% 80262	10		g0uZ		12	17 janvier 2006
	HTTP - Redirection invalide	13% 40952	15		Arod		11	26 novembre 2014
	PHP - Eval	2% 3480	40		chmod		11	8 novembre 2018
	NoSQL injection - En aveugle	1% 2886	45		ghozt		11	26 novembre 2016
	JWT - Secret faible	4% 11245	25		Jrmbt		10	21 août 2019
	Yaml - Deserialization	1% 1298	35		Nishacid		10	20 avril 2021
	PHP - assert()	5% 14933	25		Birdy42		10	26 novembre 2016
	XPath injection - Authentification	2% 6413	35		g0uZ		10	27 décembre 2012
	PHP - Remote Xdebug	1% 1434	25		mayfly		10	18 mars 2020
	SQL Injection - Routed	2% 5109	35		soka		10	24 décembre 2016
	Insecure Code Management	4% 13061	20		Swissky		10	29 septembre 2019
	NoSQL injection - Authentification	3% 7503	35		mastho		10	31 mai 2015
	Node - Serialize	1% 1193	35		Mhd_Root		10	24 février 2021
	Injection de commande - Contournement de filtre	3% 7376	30		sambecks		10	20 septembre 2017
	JWT - Clé publique	2% 3641	30		Jrmbt		10	21 août 2019
	SQL injection - Authentification	14% 44163	30		g0uZ		10	27 février 2011
	Node - Eval	1% 2733	30		Mhd_Root		10	24 février 2021
	HTTP - Contournement de filtrage IP	8% 25995	10		Cyrhades		10	23 mars 2021
	PHP - preg_replace()	3% 8826	30		sambecks		10	2 mars 2016
	HTTP - Cookies	14% 44025	20		g0uZ		10	12 février 2006
	HTTP - Verb tampering	14% 44622	15		g0uZ		10	5 septembre 2010
	HTTP - Open redirect	19% 63834	10		Swissky		10	2 août 2017
	PHP - Injection de commande	19% 63299	10		sambecks		10	20 septembre 2017
	LDAP injection - En aveugle	1% 3349	55		g0uZ		10	8 juin 2013
	SQL injection - En aveugle	3% 7347	50		g0uZ		10	27 février 2011
	HTTP - POST	14% 47270	15		Th1b4ud		10	14 août 2018
	HTTP - Headers	16% 52557	15		Arod		10	11 janvier 2015
	SQL injection - Insert	1% 3085	40		sambecks		10	23 février 2015
	File upload - Double extensions	10% 33757	20		g0uZ		10	24 décembre 2012
	File upload - Type MIME	8% 26996	20		g0uZ		10	26 décembre 2012
	JWT - Introduction	5% 16242	20		Kn0wledge		9	21 août 2019
	Python - SSTI contournement de filtres en aveugle	1% 600	75		Podalirius		8	7 septembre 2021
	SQL injection - Authentification - GBK	3% 9277	30		dvor4x		8	2 décembre 2015
	XPath injection - String	2% 3798	40		g0uZ		8	26 mai 2013
	Java - Server-side Template Injection	4% 10294	30		righettod		8	29 novembre 2015
	SQL injection - Time based	2% 5476	45		ycam		8	11 septembre 2015
	Server Side Request Forgery	1% 1783	50		sambecks		8	22 juin 2018
	SQL injection - Error	3% 7393	40		sambecks		8	4 mars 2015
	Local File Inclusion - Wrappers	2% 3525	40		sambecks		8	2 mars 2016
	PHP - Path Truncation	2% 5304	35		Geluchat		7	25 mars 2015
	SQL injection - Lecture de fichiers	2% 5881	40		Arod		7	19 octobre 2014
	SQL injection - String	7% 20951	30		g0uZ		7	24 décembre 2012
	SQL injection - Numérique	5% 14445	35		g0uZ		7	24 décembre 2012
	XPath injection - En aveugle	1% 2258	75		g0uZ		7	27 décembre 2012
	XSLT - Exécution de code	2% 3600	30		ghozt		7	16 juillet 2017
	HTML - Code source	49% 162655	5		g0uZ		7	17 janvier 2006
	PHP - Type juggling	3% 8648	30		vic		7	10 mars 2016
	PHP - Filters	6% 19075	25		g0uZ		7	27 février 2011
	Fichier de sauvegarde	16% 52551	15		g0uZ		7	27 février 2011
	HTTP - Directory indexing	23% 74555	15		g0uZ		7	5 février 2006
	GraphQL - Introspection	1% 3232	20		apges01		7	19 janvier 2023
	XSS - Server Side	1% 2174	20		Elf		7	23 juin 2023
	PHP - Loose Comparison	3% 7055	30		ghozt		7	10 janvier 2018
	Mot de passe faible	32% 105703	10		g0uZ		6	4 février 2006
	CRLF	10% 30723	20		g0uZ		6	31 juillet 2011
	JWT - Jeton révoqué	2% 5624	25		ArnC		6	20 mars 2020
	GraphQL - Backend injection	1% 373	40		apges01		6	19 janvier 2023
	Java - Spring Boot	1% 2282	40		dvor4x		6	24 décembre 2016
	PHP - Sérialisation	2% 6579	35		Arod		6	3 février 2014
	LDAP injection - Authentification	3% 10022	35		g0uZ		6	26 mai 2013
	Python - Server-side Template Injection Introduction	2% 4090	25		Podalirius		6	7 septembre 2021
	API - Broken Access	1% 2845	15		Nishacid , Mika		5	18 janvier 2024
	PHP - Unserialize Pop Chain	1% 629	55		Worty		5	22 octobre 2021
	Local File Inclusion	8% 24782	30		g0uZ		5	2 octobre 2011
	JWT - Header Injection	1% 1032	30		Nishacid , Mika		5	23 février 2023
	NodeJS - Prototype Pollution Bypass	1% 481	45		Worty		5	22 octobre 2021
	PHP - Register globals	5% 15361	25		g0uZ		5	8 octobre 2011
	JWT - Unsecure Key Handling	1% 693	35		Nishacid , Mika		5	23 février 2023
	PHP - Eval - Contournement de filtres avancés	1% 545	40		Podalirius		5	8 juillet 2022
	SQL injection - Contournement de filtres	1% 2616	80		sambecks		5	21 juillet 2014
	File upload - Null byte	7% 23050	25		g0uZ		5	26 décembre 2012
	SQL Truncation	2% 6439	35		Geluchat		5	1er mai 2015
	JWT - Unsecure File Signature	1% 1843	25		Nishacid , Mika		5	23 février 2023
	SQL Injection Second Order	1% 165	55		k4ndar3c		4	29 novembre 2023
	Directory traversal	11% 34061	25		g0uZ		4	31 juillet 2011
	GraphQL - Mutation	1% 1496	40		CanardMandarin		4	20 octobre 2020
	Local File Inclusion - Double encoding	4% 12435	30		zM_		4	13 juin 2016
	File upload - Polyglot	1% 410	45		Cyxo		4	8 juillet 2022
	API - Broken Access 2	1% 248	40		Nishacid , Mika		4	18 janvier 2024
	NodeJS - vm escape	1% 698	50		Podalirius		4	15 avril 2021
	Install files	13% 42181	15		g0uZ		4	12 février 2006
	PHP - Unserialize overflow	1% 743	55		mayfly		4	4 avril 2020
	GraphQL - Injection	1% 641	30		apges01		3	19 janvier 2023
	API - Mass Assignment	1% 1953	20		Nishacid , Mika		3	18 janvier 2024
	Flask - Development server	1% 690	30		Sanlokii		3	29 novembre 2023
	PHP - Configuration Apache	1% 2139	25		erk3 , nemoz		3	8 juillet 2022
	Java - Custom gadget deserialisation	1% 112	50		Elweth		2	28 décembre 2023
	XML External Entity	2% 5376	35		sambecks		2	20 octobre 2014
	Flask - Unsecure session	1% 1951	20		Sanlokii		2	29 novembre 2023
	File upload - ZIP	3% 9208	30		ghozt		2	3 août 2017
	Elixir - EEx	1% 209	35		lolo42		1	29 novembre 2023

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
Maor	HTML - Source code		20 septembre 2024 to 08:33
Fineko	HTTP - Contournement de filtrage IP		20 septembre 2024 to 08:30
c-goulet	HTTP - Contournement de filtrage IP		20 septembre 2024 to 08:29
c-goulet	HTML - Code source		20 septembre 2024 to 08:27
4sak3n	JWT - Unsecure File Signature		20 septembre 2024 to 08:26
beeerid	HTML - Code source		20 septembre 2024 to 08:24
SFOF	Weak password		20 septembre 2024 to 08:24
SFOF	HTTP - Improper redirect		20 septembre 2024 to 08:01
emily747	CRLF		20 septembre 2024 to 08:00
qabqassy	Backup file		20 septembre 2024 to 07:49