par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Sur https://jwthe.ctf.bzh, on est face à un site web où l’on peut commander du thé. Voici la charge utile JSON envoyée dans la requête lors d’une commande....
par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Un petit coup de ffuf permet d’identifier le fichier robots.txt. User-agent: * Disallow : /ondine_secrets.html Sur la page https://ondine.ctf.bzh/ondine_secrets.html, on retrouve un tableau, sur la vue utilisateur, on ne voit que des cellules blanches, mais en...
par Alexandre Zanni | Mar 21, 2023 | Articles techniques, Challenges
Enoncé BreizhCrêpes est une entreprise spécialisée dans la production de crêpes salées (miam). Gurvan, l’administrateur système de l’entreprise, reçoit un appel d’un collaborateur. Il s’agit de Gweltaz qui indique avoir cliqué sur un e-mail...
par Alexandre Zanni | Mar 2, 2023 | Articles techniques, Challenges
La vulnérabilité à détecter pour ce challenge était une XSS via collision par transformation de casse due au mauvais ordonnancement des mesures de sécurité. La résolution de challenge ne demande pas nécessairement de connaissance du langage (Ruby) ou du framework web...
par Alexandre Zanni | Mar 2, 2023 | Articles techniques, Challenges
The vulnerability to be detected for this challenge was an XSS via collision by case transformation due to the misordering of security measures. Solving the challenge does not necessarily require knowledge of the language (Ruby) or the web framework (Roda). Indeed,...
par Alexandre Zanni | Fév 16, 2023 | Articles techniques, Outils et méthodes
Les plus férus des notifications, que ce soit sur twitter ou github, n’auront pas manqué la parution de la version 2.0.0 de ffuf. Dans mon précédent article Astuces avancées avec ffuf, je commençais par présenter ffuf : À quoi sert-il ? Qu’a-t-il de...
