TP Sécurité
Objectifs
- Utiliser l'outil de développement de votre navigateur web pour voir et modifier le code HTML et JavaScript
- Comprendre le principe de l'injection SQL
- Comprendre le principe du Cross-site scripting (XSS)
Démonstrations
Injection SQL
https://www.hacksplaining.com/exercises/sql-injection
Cross-site scripting (XSS)
https://www.hacksplaining.com/exercises/xss-stored
Exercices
Outils de développement
Pour pouvoir "hacker" les sites web suivants, vous allez devoir utiliser les outils de développement de votre navigateur web. Pour y accéder, vous avez le choix entre :
- Via le menu contextuel
- Clic droit sur la page web
- Sélectionnez "Inspecter"
- Via le raccourci clavier
- Appuyez sur la touche "F12"
L'outils est séparé en plusieurs panneaux et voici quelques uns qui vous seront utiles :
- Éléments : permet de naviguer dans le code HTML de la page et le modifier
- Réseau : permet de voir et modifier les requêtes HTTP effectuées par votre navigateur web
- Application ou Stockage : permet de voir et modifier les cookies et le cache de votre navigateur web
Code source
Trouvez le mot de passe sur http://challenge01.root-me.org/web-serveur/ch1/
Indice 1
Regardez le code source de la page.
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTML-Code-source
Mot de passe faible
Connectez-vous sur http://challenge01.root-me.org/web-serveur/ch3/
Indice 1
Il y a habituellement un utilisateur admin dans les applications web.
Indice 2
Le mot de passe est faible, il est donc possible de le deviner.
Indice 3
Et si le mot de passe était le même que le nom d'utilisateur ?
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Serveur/Mot-de-passe-faible
HTTP - Bouton désactivé
Connectez-vous sur http://challenge01.root-me.org/web-client/ch25/
Indice 1
Le code HTML est exécuté par votre navigateur web, il est donc possible de le modifier en affichant le code source de la page.
Indice 2
L'attribut disabled est utilisé pour désactiver un élément HTML.
Indice 3
En double-cliquant sur le code du bouton, il est possible de supprimer l'attribut disabled.
Indice 4
Vous pouvez mettre n'importe quel nom d'utilisateur.
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Client/HTML-boutons-desactives
JavaScript - Code source
Trouvez le mot de passe sur http://challenge01.root-me.org/web-client/ch1/
Indice 1
Regardez le code JavaScript de la page.
Indice 2
Le code JavaScript est dans le head de la page HTML.
Indice 3
Quelle comparaison est faite avec la variable pass ?
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Client/Javascript-Source
Javascript - Authentification
Connectez-vous sur http://challenge01.root-me.org/web-client/ch9/
Indice 1
Cette fois, le code JavaScript est dans un fichier externe.
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Client/Javascript-Authentification
Javascript - Authentification 2
Connectez-vous sur http://challenge01.root-me.org/web-client/ch11/
Indice 1
Lisez bien le code.
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Client/Javascript-Authentification-2
HTTP - Structure des répertoires (avancé)
Trouver le mot de passe sur http://challenge01.root-me.org/web-serveur/ch4/
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTTP-Directory-indexing
HTTP - Cookies (avancé)
Trouver le mot de passe sur http://challenge01.root-me.org/web-serveur/ch7/
Indice 1
Pour modifier les cookies :
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTTP-Cookies
HTTP - User-agent (avancé)
Trouver le mot de passe sur http://challenge01.root-me.org/web-serveur/ch2/
Indice 1
Pour modifier le user-agent de votre navigateur web :
Validation :
Source : https://www.root-me.org/fr/Challenges/Web-Serveur/HTTP-User-agent