Skip to content

TP Sécurité

Objectifs

  • Utiliser l'outil de développement de votre navigateur web pour voir et modifier le code HTML et JavaScript
  • Comprendre le principe de l'injection SQL
  • Comprendre le principe du Cross-site scripting (XSS)

Démonstrations

Injection SQL

https://www.hacksplaining.com/exercises/sql-injection

Cross-site scripting (XSS)

https://www.hacksplaining.com/exercises/xss-stored

https://xss-game.appspot.com/

Exercices

Outils de développement

Pour pouvoir "hacker" les sites web suivants, vous allez devoir utiliser les outils de développement de votre navigateur web. Pour y accéder, vous avez le choix entre :

  • Via le menu contextuel
    • Clic droit sur la page web
    • Sélectionnez "Inspecter"
  • Via le raccourci clavier
    • Appuyez sur la touche "F12"

L'outils est séparé en plusieurs panneaux et voici quelques uns qui vous seront utiles :

  • Éléments : permet de naviguer dans le code HTML de la page et le modifier
  • Réseau : permet de voir et modifier les requêtes HTTP effectuées par votre navigateur web
  • Application ou Stockage : permet de voir et modifier les cookies et le cache de votre navigateur web

Code source

Trouvez le mot de passe sur http://challenge01.root-me.org/web-serveur/ch1/

Indice 1

Regardez le code source de la page.

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTML-Code-source

Mot de passe faible

Connectez-vous sur http://challenge01.root-me.org/web-serveur/ch3/

Indice 1

Il y a habituellement un utilisateur admin dans les applications web.

Indice 2

Le mot de passe est faible, il est donc possible de le deviner.

Indice 3

Et si le mot de passe était le même que le nom d'utilisateur ?

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Serveur/Mot-de-passe-faible

HTTP - Bouton désactivé

Connectez-vous sur http://challenge01.root-me.org/web-client/ch25/

Indice 1

Le code HTML est exécuté par votre navigateur web, il est donc possible de le modifier en affichant le code source de la page.

Indice 2

L'attribut disabled est utilisé pour désactiver un élément HTML.

Indice 3

En double-cliquant sur le code du bouton, il est possible de supprimer l'attribut disabled.

Indice 4

Vous pouvez mettre n'importe quel nom d'utilisateur.

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Client/HTML-boutons-desactives

JavaScript - Code source

Trouvez le mot de passe sur http://challenge01.root-me.org/web-client/ch1/

Indice 1

Regardez le code JavaScript de la page.

Indice 2

Le code JavaScript est dans le head de la page HTML.

Indice 3

Quelle comparaison est faite avec la variable pass ?

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Client/Javascript-Source

Javascript - Authentification

Connectez-vous sur http://challenge01.root-me.org/web-client/ch9/

Indice 1

Cette fois, le code JavaScript est dans un fichier externe.

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Client/Javascript-Authentification

Javascript - Authentification 2

Connectez-vous sur http://challenge01.root-me.org/web-client/ch11/

Indice 1

Lisez bien le code.

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Client/Javascript-Authentification-2

HTTP - Structure des répertoires (avancé)

Trouver le mot de passe sur http://challenge01.root-me.org/web-serveur/ch4/

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTTP-Directory-indexing

HTTP - Cookies (avancé)

Trouver le mot de passe sur http://challenge01.root-me.org/web-serveur/ch7/

Indice 1

Pour modifier les cookies :

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTTP-Cookies

HTTP - User-agent (avancé)

Trouver le mot de passe sur http://challenge01.root-me.org/web-serveur/ch2/

Indice 1

Pour modifier le user-agent de votre navigateur web :

Validation :

Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTTP-User-agent

Sources