Web - Serveur

Ces épreuves vous permettront d’appréhender les techniques intrusives retrouvées sur le web, allant de l’exploitation de faiblesses de configuration jusqu’aux injections de code côté serveur.

Ces challenges ont pour objectif de former les utilisateurs à la compréhension de langages côté serveur, du protocole HTTP et des mécanismes employés par un serveur web. C’est la série d’épreuves la plus accessible, elle permet de comprendre le fonctionnement basique de plusieurs mécanismes d’authentification, d’envoi de variables par formulaires, les traitements réalisés par les applications web, etc.

Prérequis :
– Connaitre un langage "web serveur", par exemple PHP ;
– Connaitre le langage SQL ;
– Connaitre le protocole HTTP ;
– Maitriser un navigateur web.

96 Challenges

Résultats	Nom	Validations ↓↑	Nombre de points	Difficulté	Auteur	Note	Solution	Date
	HTML - Code source	49% 165082	5		g0uZ		7	17 janvier 2006
	Mot de passe faible	32% 107030	10		g0uZ		6	4 février 2006
	HTTP - User-agent	24% 81365	10		g0uZ		12	17 janvier 2006
	HTTP - Directory indexing	22% 75381	15		g0uZ		7	5 février 2006
	HTTP - Open redirect	19% 64685	10		Swissky		10	2 août 2017
	PHP - Injection de commande	19% 64279	10		sambecks		10	20 septembre 2017
	HTTP - Headers	16% 53179	15		Arod		10	11 janvier 2015
	Fichier de sauvegarde	16% 53083	15		g0uZ		7	27 février 2011
	HTTP - POST	14% 47928	15		Th1b4ud		10	14 août 2018
	HTTP - Verb tampering	14% 45178	15		g0uZ		10	5 septembre 2010
	SQL injection - Authentification	14% 44645	30		g0uZ		10	27 février 2011
	HTTP - Cookies	13% 44509	20		g0uZ		10	12 février 2006
	Install files	13% 42664	15		g0uZ		4	12 février 2006
	HTTP - Redirection invalide	13% 41440	15		Arod		11	26 novembre 2014
	Directory traversal	11% 34444	25		g0uZ		4	31 juillet 2011
	File upload - Double extensions	10% 34162	20		g0uZ		10	24 décembre 2012
	CRLF	10% 31069	20		g0uZ		6	31 juillet 2011
	File upload - Type MIME	8% 27315	20		g0uZ		10	26 décembre 2012
	HTTP - Contournement de filtrage IP	8% 26966	10		Cyrhades		10	23 mars 2021
	Local File Inclusion	8% 25003	30		g0uZ		5	2 octobre 2011
	File upload - Null byte	7% 23322	25		g0uZ		5	26 décembre 2012
	SQL injection - String	7% 21150	30		g0uZ		7	24 décembre 2012
	PHP - Filters	6% 19272	25		g0uZ		7	27 février 2011
	JWT - Introduction	5% 16622	20		Kn0wledge		9	21 août 2019
	PHP - Register globals	5% 15541	25		g0uZ		5	8 octobre 2011
	PHP - assert()	5% 15118	25		Birdy42		10	26 novembre 2016
	SQL injection - Numérique	5% 14596	35		g0uZ		7	24 décembre 2012
	Insecure Code Management	4% 13306	20		Swissky		10	29 septembre 2019
	Local File Inclusion - Double encoding	4% 12579	30		zM_		4	13 juin 2016
	Remote File Inclusion	4% 11577	30		g0uZ		12	25 novembre 2015
	JWT - Secret faible	4% 11481	25		Jrmbt		10	21 août 2019
	Java - Server-side Template Injection	4% 10420	30		righettod		9	29 novembre 2015
	LDAP injection - Authentification	3% 10128	35		g0uZ		7	26 mai 2013
	SQL injection - Authentification - GBK	3% 9405	30		dvor4x		8	2 décembre 2015
	File upload - ZIP	3% 9347	30		ghozt		2	3 août 2017
	PHP - preg_replace()	3% 8906	30		sambecks		10	2 mars 2016
	PHP - Type juggling	3% 8728	30		vic		7	10 mars 2016
	NoSQL injection - Authentification	3% 7571	35		mastho		10	31 mai 2015
	SQL injection - Error	3% 7510	40		sambecks		8	4 mars 2015
	Injection de commande - Contournement de filtre	3% 7480	30		sambecks		10	20 septembre 2017
	SQL injection - En aveugle	3% 7418	50		g0uZ		10	27 février 2011
	PHP - Loose Comparison	3% 7139	30		ghozt		7	10 janvier 2018
	PHP - Sérialisation	2% 6627	35		Arod		6	3 février 2014
	SQL Truncation	2% 6513	35		Geluchat		5	1er mai 2015
	XPath injection - Authentification	2% 6483	35		g0uZ		10	27 décembre 2012
	SQL injection - Lecture de fichiers	2% 5887	40		Arod		7	19 octobre 2014
	JWT - Jeton révoqué	2% 5755	25		ArnC		6	20 mars 2020
	SQL injection - Time based	2% 5561	45		ycam		8	11 septembre 2015
	XML External Entity	2% 5469	35		sambecks		2	20 octobre 2014
	PHP - Path Truncation	2% 5352	35		Geluchat		7	25 mars 2015
	SQL Injection - Routed	2% 5169	35		soka		10	24 décembre 2016
	Python - Server-side Template Injection Introduction	2% 4232	25		Podalirius		6	7 septembre 2021
	XPath injection - String	2% 3848	40		g0uZ		8	26 mai 2013
	JWT - Clé publique	2% 3707	30		Jrmbt		10	21 août 2019
	XSLT - Exécution de code	2% 3645	30		ghozt		7	16 juillet 2017
	Local File Inclusion - Wrappers	2% 3558	40		sambecks		8	2 mars 2016
	PHP - Eval	2% 3534	40		chmod		11	8 novembre 2018
	API - Broken Access	2% 3457	15		Nishacid , Mika		5	18 janvier 2024
	GraphQL - Introspection	1% 3411	20		apges01		7	19 janvier 2023
	LDAP injection - En aveugle	1% 3378	55		g0uZ		10	8 juin 2013
	SQL injection - Insert	1% 3116	40		sambecks		10	23 février 2015
	NoSQL injection - En aveugle	1% 2925	45		ghozt		11	26 novembre 2016
	Node - Eval	1% 2819	30		Mhd_Root		10	24 février 2021
	SQL injection - Contournement de filtres	1% 2679	80		sambecks		5	21 juillet 2014
	XSS - Server Side	1% 2388	20		Elf		7	23 juin 2023
	Java - Spring Boot	1% 2303	40		dvor4x		6	24 décembre 2016
	XPath injection - En aveugle	1% 2277	75		g0uZ		7	27 décembre 2012
	API - Mass Assignment	1% 2266	20		Nishacid , Mika		3	18 janvier 2024
	PHP - Configuration Apache	1% 2231	25		erk3 , nemoz		3	8 juillet 2022
	Flask - Unsecure session	1% 2190	20		Sanlokii		2	29 novembre 2023
	JWT - Unsecure File Signature	1% 1953	25		Nishacid , Mika		5	23 février 2023
	Server Side Request Forgery	1% 1818	50		sambecks		8	22 juin 2018
	GraphQL - Mutation	1% 1522	40		CanardMandarin		4	20 octobre 2020
	PHP - Remote Xdebug	1% 1464	25		mayfly		10	18 mars 2020
	Yaml - Deserialization	1% 1337	35		Nishacid		10	20 avril 2021
	Node - Serialize	1% 1226	35		Mhd_Root		10	24 février 2021
	JWT - Header Injection	1% 1084	30		Nishacid , Mika		5	23 février 2023
	Nginx - Alias Misconfiguration	1% 1007	15		.Yo0x		3	27 septembre 2024
	Flask - Development server	1% 790	30		Sanlokii		3	29 novembre 2023
	PHP - Unserialize overflow	1% 754	55		mayfly		4	4 avril 2020
	NodeJS - vm escape	1% 720	50		Podalirius		4	15 avril 2021
	JWT - Unsecure Key Handling	1% 716	35		Nishacid , Mika		5	23 février 2023
	GraphQL - Injection	1% 682	30		apges01		3	19 janvier 2023
	PHP - Unserialize Pop Chain	1% 644	55		Worty		5	22 octobre 2021
	Python - SSTI contournement de filtres en aveugle	1% 620	75		Podalirius		8	7 septembre 2021
	PHP - Eval - Contournement de filtres avancés	1% 569	40		Podalirius		5	8 juillet 2022
	NodeJS - Prototype Pollution Bypass	1% 505	45		Worty		5	22 octobre 2021
	File upload - Polyglot	1% 422	45		Cyxo		4	8 juillet 2022
	GraphQL - Backend injection	1% 396	40		apges01		6	19 janvier 2023
	API - Broken Access 2	1% 324	40		Nishacid , Mika		4	18 janvier 2024
	Elixir - EEx	1% 231	35		lolo42		1	29 novembre 2023
	SQL Injection Second Order	1% 191	55		k4ndar3c		5	29 novembre 2023
	Java - Custom gadget deserialisation	1% 134	50		Elweth		3	28 décembre 2023
	Nginx - Root Location Misconfiguration	1% 123	15		.Yo0x		3	27 septembre 2024
	Nginx - SSRF Misconfiguration	1% 45	30		.Yo0x		2	27 septembre 2024
	Python dotenv	1% 21	70		jrjgjk		2	27 septembre 2024

Résultats des challenges

Pseudonyme	Epreuve	Langue	Date
aleph	API - Broken Access		31 octobre 2024 to 21:50
saku	File upload - ZIP		31 octobre 2024 to 21:46
yaaa	HTTP - Headers		31 octobre 2024 to 21:42
BabtouZER	PHP - Injection de commande		31 octobre 2024 to 21:37
yaaa	HTTP - Directory indexing		31 octobre 2024 to 21:35
Marshall_D_Teach	PHP - Injection de commande		31 octobre 2024 to 21:33
Yxnnovich	CRLF		31 octobre 2024 to 21:28
TroG	Mot de passe faible		31 octobre 2024 to 21:24
yaaa	HTTP - User-agent		31 octobre 2024 to 21:24
Kpop_Latios	PHP - Eval - Contournement de filtres avancés		31 octobre 2024 to 21:23