FIXME **Le PAD pour proposer une amélioration à cette page :** https://pad.zenk-security.com/p/merci

====== Ressources en Failles Web ======

Les failles web peuvent se décomposer en deux grandes parties : les failles qui s'attaquent au client et celles qui s'attaquent au serveur.

===== Côté client =====

  * [[failles_web:XSS]] - Explications sur les XSS
  * [[failles_web:CSRF]] - Explications sur les CSRF
  * [[failles_web:SOP]] - Bypass de la Same Origin Policy
  * [[failles_web:http_response_splitting|HTTP Response Splitting]] - Explications sur les HRS
===== Côté serveur =====

  * [[failles_web:sql_injection|SQL Injection]] - Explications détaillées des SQL Injection classique
  * [[failles_web:blind_sql_injection|Blind SQL Injection]] - Explications détaillées des Blind SQL Injection
  * [[failles_web:nosql_injection|NoSQL Injection]] - Explications des NoSQL Injection
  * [[failles_web:lfi|LFI]] - Explications des Local File Inclusion
  * [[failles_web:xpath_injection|XPATH Injection]] - Explications sur les injections XPATH
  * [[failles_web:ldap_injection|LDAP Injection]] - Bref aperçu sur les injections LDAP
  * [[failles_web:OS_Injection|OS Injection]] - Explications des OS injection
  * [[failles_web:Injection_de_code|Injection de code]] - Injection de code


===== Challenge =====

Lors de challenges, il est intéressant de connaître quelques indications sur comment s'orienter vers quelque-chose.

  * vérification du **/robots.txt** (trouver l'adresse de pages intéressantes)
  * récupération des sources en utilisant l'extension **.phps** (dans certains challenges, les sources sont enregistrés avec ce nom)
  * récupération des sources en utilisant l'extension **.php~** (ceci est le nom donnée aux fichiers de sauvegarde sous certains éditeurs de texte comme gEdit).
  * vérification des **Headers HTTP** (des champs non-conventionnels, cookies, ...)

===== Méthodologie =====
  *  Bug Bounty Hunter Methodology : https://docs.google.com/presentation/d/1R-3eqlt31sL7_rj2f1_vGEqqb7hcx4vxX_L7E23lJVo/edit#slide=id.p