Aller au contenu principal

Web

La catégorie Web en CTF se concentre sur la sécurité des applications web et la découverte de vulnérabilités dans ces applications. La catégorie peut inclure une variété de défis visant la recherche de failles de sécurité pour obtenir des informations ou accéder à des ressources protégées. Voici quelques-unes des attaques les plus couramment rencontrées dans cette catégorie, ainsi que des ressources associées pour approfondir chaque sujet.

  1. Injection SQL:

    • Description: L'injection SQL est une attaque dans laquelle un attaquant insère du code SQL malveillant dans une requête SQL. Cela peut permettre à l'attaquant de manipuler la base de données, obtenir des informations sensibles, voire prendre le contrôle du système.
    • Ressources:
  2. Cross-Site Scripting (XSS):

    • Description: XSS permet à un attaquant d'injecter du code exécutable (généralement JavaScript) dans une page web, qui est ensuite exécuté par le navigateur des utilisateurs.
    • Ressources:
      - [PortSwigger - Cross-site scripting
      (XSS)](https://portswigger.net/web-security/cross-site-scripting)
      - [OWASP - XSS](https://owasp.org/www-community/attacks/xss/)
  1. Cross-Site Request Forgery (CSRF):

  2. Command Injection:

    • Description: Cette attaque consiste à injecter des commandes système malveillantes dans une application, souvent en exploitant les entrées utilisateur mal filtrées.
    • Ressources:
  3. Path Traversal (LFI/RFI):

    • Description: L'attaque de traversée de chemin permet à un attaquant d'accéder à des fichiers auxquels il n'est pas censé avoir accès en manipulant les chemins d'accès fournis par l'application.
    • Ressources:
  4. Insecure Direct Object References (IDOR):

  5. Server-Side Request Forgery (SSRF):

Dans la majeure partie des ressources externes ci-dessus, vous aurez remarqué que les liens pointent vers PortSwigger. En effet, leur section "Académie" est excellente pour débuter sur le sujet, qu'il s'agisse d'attaque novice ou très avancée.