Cette page vous donne les différences entre la révision choisie et la version actuelle de la page.
failles_web [2012/06/12 11:05] TheLizardKing Création de la page |
failles_web [2020/02/08 18:51] (Version actuelle) M0N5T3R |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
+ | FIXME **Le PAD pour proposer une amélioration à cette page :** https://pad.zenk-security.com/p/merci | ||
+ | |||
====== Ressources en Failles Web ====== | ====== Ressources en Failles Web ====== | ||
- | Cette page a pour but de réunir différents articles sur les différentes failles web | + | Les failles web peuvent se décomposer en deux grandes parties : les failles qui s'attaquent au client et celles qui s'attaquent au serveur. |
+ | |||
+ | ===== Côté client ===== | ||
+ | |||
+ | * [[failles_web:XSS]] - Explications sur les XSS | ||
+ | * [[failles_web:CSRF]] - Explications sur les CSRF | ||
+ | * [[failles_web:SOP]] - Bypass de la Same Origin Policy | ||
+ | * [[failles_web:http_response_splitting|HTTP Response Splitting]] - Explications sur les HRS | ||
+ | ===== Côté serveur ===== | ||
* [[failles_web:sql_injection|SQL Injection]] - Explications détaillées des SQL Injection classique | * [[failles_web:sql_injection|SQL Injection]] - Explications détaillées des SQL Injection classique | ||
* [[failles_web:blind_sql_injection|Blind SQL Injection]] - Explications détaillées des Blind SQL Injection | * [[failles_web:blind_sql_injection|Blind SQL Injection]] - Explications détaillées des Blind SQL Injection | ||
+ | * [[failles_web:nosql_injection|NoSQL Injection]] - Explications des NoSQL Injection | ||
* [[failles_web:lfi|LFI]] - Explications des Local File Inclusion | * [[failles_web:lfi|LFI]] - Explications des Local File Inclusion | ||
+ | * [[failles_web:xpath_injection|XPATH Injection]] - Explications sur les injections XPATH | ||
+ | * [[failles_web:ldap_injection|LDAP Injection]] - Bref aperçu sur les injections LDAP | ||
+ | * [[failles_web:OS_Injection|OS Injection]] - Explications des OS injection | ||
+ | * [[failles_web:Injection_de_code|Injection de code]] - Injection de code | ||
+ | |||
+ | |||
+ | ===== Challenge ===== | ||
+ | |||
+ | Lors de challenges, il est intéressant de connaître quelques indications sur comment s'orienter vers quelque-chose. | ||
+ | |||
+ | * vérification du **/robots.txt** (trouver l'adresse de pages intéressantes) | ||
+ | * récupération des sources en utilisant l'extension **.phps** (dans certains challenges, les sources sont enregistrés avec ce nom) | ||
+ | * récupération des sources en utilisant l'extension **.php~** (ceci est le nom donnée aux fichiers de sauvegarde sous certains éditeurs de texte comme gEdit). | ||
+ | * vérification des **Headers HTTP** (des champs non-conventionnels, cookies, ...) | ||
+ | |||
+ | ===== Méthodologie ===== | ||
+ | * Bug Bounty Hunter Methodology : https://docs.google.com/presentation/d/1R-3eqlt31sL7_rj2f1_vGEqqb7hcx4vxX_L7E23lJVo/edit#slide=id.p |