par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Le code source de la page PHP nous est donné : <?php include('flag.php'); $banned_secret = 'BreizhCTF-2023-pwd-702'; $stored_hash = password_hash(hash('gost', $banned_secret, true), PASSWORD_BCRYPT); if (isset($_POST['flag'])...
par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Sur https://jwthe.ctf.bzh, on est face à un site web où l’on peut commander du thé. Voici la charge utile JSON envoyée dans la requête lors d’une commande....
par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Un petit coup de ffuf permet d’identifier le fichier robots.txt. User-agent: * Disallow : /ondine_secrets.html Sur la page https://ondine.ctf.bzh/ondine_secrets.html, on retrouve un tableau, sur la vue utilisateur, on ne voit que des cellules blanches, mais en...
par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Enoncé BreizhCrêpes est une entreprise spécialisée dans la production de crêpes salées (miam). Gurvan, l’administrateur système de l’entreprise, reçoit un appel d’un collaborateur. Il s’agit de Gweltaz qui indique avoir cliqué sur un e-mail...
par Alexandre Zanni | Mar 21, 2023 | Actualité, Challenges
ACCEIS au BreizhCTF 2k23 Sponsor de cette magnifique 7ème édition du BreizhCTF 2023, nous avons tout donné pour animer l’espace des exposants, partager des sujets techniques lors des Rumps et garder les yeux ouverts tout au long de la compétition. Plusieurs...
par Alexandre Zanni | Mar 2, 2023 | Articles techniques, Challenges
La vulnérabilité à détecter pour ce challenge était une XSS via collision par transformation de casse due au mauvais ordonnancement des mesures de sécurité. La résolution de challenge ne demande pas nécessairement de connaissance du langage (Ruby) ou du framework web...
par Alexandre Zanni | Mar 2, 2023 | Articles techniques, Challenges
The vulnerability to be detected for this challenge was an XSS via collision by case transformation due to the misordering of security measures. Solving the challenge does not necessarily require knowledge of the language (Ruby) or the web framework (Roda). Indeed,...
par Alexandre Zanni | Fév 16, 2023 | Articles techniques, Outils et méthodes
Les plus férus des notifications, que ce soit sur twitter ou github, n’auront pas manqué la parution de la version 2.0.0 de ffuf. Dans mon précédent article Astuces avancées avec ffuf, je commençais par présenter ffuf : À quoi sert-il ? Qu’a-t-il de...
par Alexandre Zanni | Fév 16, 2023 | Articles techniques, Outils et méthodes
Those who are keen on notifications, whether on twitter or github, will not have missed the release of version 2.0.0 of ffuf. In my previous article Advanced Tips with ffuf, I started by introducing ffuf: What is it for? What makes it different from the others? The...
par Kelly RESCHE | Fév 10, 2023 | Articles techniques, Cryptologie
En cybersécurité, qui n’a pas entendu parler de l’OWASP (Open Web Application Security Project) ? Chaque année, cette organisation à but non lucratif travaillant sur la sécurité des applications Web, publie son Top 10, à savoir la liste des dix risques de...
