Le PAD pour proposer une amélioration à cette page : https://pad.zenk-security.com/p/merci
Pré-requis
Apprendre l'
HTML et le
CSS →
Lien
Apprendre le Javascript →
Lien
-
Savoir à quoi sert le fichier robots.txt et en quoi celui-ci peut être utile dans la collecte d'information →
Lien -
Lien
Comprendre comment fonctionne le vol de sessions →
Lien
Apprendre à exploiter les XSS, persistantes et non persistantes →
Lien -
Lien -
Lien -
Lien
Apprendre à exploiter les CSRF →
Lien -
Lien
Apprendre à exploiter un Cross Site Tracing →
Lien -
Lien
Apprendre comment fonctionne le protocole
HTTP (utile pour plein de chose) →
Lien
Apprendre à exploiter les Command Injection (rare mais à connaitre) →
Lien
Apprendre à exploiter les
HTTP Response Splitting →
Lien
Apprendre à exploiter les
HTTP Header Injection →
Lien
Apprendre à exploiter les
HTTP HEAD Trick dans
PHP →
Lien
Apprendre à bypasser les .htaccess (généralement outdated mais bon à savoir) →
Lien
Apprendre à provoquer des Full Path Disclosure →
Lien
-
Apprendre à exploiter les failles Upload →
Lien
-
-
-
Apprendre à exploiter les injections
SQL faisant intervenir des fichiers →
Lien -
Lien
Apprendre un langage de Script (python, perl, ruby) afin d’exploiter des “Blind
SQL Injection” →
Lien -
Lien -
Lien -
Lien
Apprendre à exploiter les “Total Blind
SQL Injection” basé sur le temps →
Lien
Apprendre à exploiter les “NoSQL/SSJS Injection” basé sur le temps →
Lien
Apprendre à reconnaître les différents types de “hash” (MD5, SHA…), savoir dans quel cadre ils sont utilisés, et comment leurs trouver une collision. →
Lien -
Lien -
Lien
Apprendre à exploiter les “Null Byte Injection” dans preg_replace() →
Lien
Apprendre à exploiter les failles unserialize de
PHP →
Lien
Lecture conseillée
Exercices
Créer un script
PHP, qui appelé depuis une XSS permet de récupérer le cookie de session du client, et de le stocker dans un fichier ou une BDD (Prérequis : 1 à 6)
Faire les épreuves “Failles Web” de Zenk Security
Lien -
Lien (Prérequis : 1 à 20, on rigole pas nous !
)
-
Framework
Web Application Attack and Audit (w3af)
Lien
-
-
Outils
-
Débogueur et éditeur
HTML,
CSS et
JS :
-
Opera : Ctrl+Shift+I
Google Chrome : Ctrl+Shift+I (ou F12)
Création, édition de cookie :
-
-
-
Cheat Sheet
Autres
-
Google Chrome : Cache
DNS, Sockets ouvertes, Header
HTTP et autres : chrome://net-internals/ (
URL à coller dans la barre de navigation)