Exploitation du Web
Trouver et exploiter des vulnérabilités sur des sites web (comme l'injection SQL, les failles XSS ou les RCE) pour accéder aux drapeaux cachés.
| Nom | Description | Niveau |
|---|---|---|
| XSS Games | Série d'exercices interactifs pour apprendre et pratiquer les techniques d'attaque XSS (Cross-Site Scripting) | 🟢 Débutant |
| SKF Flask | Application web Python/Angular démontrant l'implémentation de bonnes pratiques de sécurité, avec des exemples de vulnérabilités | 🟡 Intermédiaire |
| WebGoat | Application web Java volontairement vulnérable pour apprendre la sécurité applicative de manière pratique | 🟢 Débutant |
| OWASP VWAD | Répertoire d'applications web vulnérables pour l'apprentissage de la sécurité | 🟢 Débutant |
| OWASP Top 10 | Guide de référence des 10 risques de sécurité les plus critiques pour les applications web | 🟢 Débutant |
| Damn Vulnerable GraphQL | Application GraphQL intentionnellement vulnérable pour apprendre la sécurité des API GraphQL | 🟡 Intermédiaire |
astuce
Consultez aussi la page Plateformes pour des environnements d'apprentissage sur le Web.
Acronymes utiles
| Acronyme | Signification | Description |
|---|---|---|
| LFI | Local File Inclusion | Inclusion de fichiers locaux via une vulnérabilité |
| RFI | Remote File Inclusion | Inclusion de fichiers distants dans une application |
| SSRF | Server-Side Request Forgery | Exploitation du serveur pour faire des requêtes internes |
| XSS | Cross-Site Scripting | Injection de code JavaScript malveillant |
| SQLi | SQL Injection | Injection de commandes SQL malveillantes |
| CSRF | Cross-Site Request Forgery | Forger des requêtes à l'insu de l'utilisateur |
| IDOR | Insecure Direct Object Reference | Accès non autorisé à des objets via leurs références |
| SSTI | Server-Side Template Injection | Injection dans les templates côté serveur |
| JWT | JSON Web Token | Token d'authentification web |