Rainbow Rocket (Web) - 404CTF2025
Compte-rendu (writeup) du challenge Rainbow Rocket, catégorie Web, 404CTF 2025: Forger un JWT pour se faire passer pour l'admin car le site autorise l'algorithme none, ce qui est en soi une vulnérabilité critique!
Le Braquage (Web) - 404CTF2022
Compte-rendu (writeup) du challenge Le Braquage, catégorie Web, 404CTF 2022: Exploiter manuellement des SQL injections, y compris en bypassant le 'WAF', pour récupérer des informations constituant le flag
En construction (Web) - 404CTF2022
Compte-rendu (writeup) du challenge En construction, catégorie Web, 404CTF 2022: Identifier que le HTTP status code 2xx sert à passer un message encodé en ASCII par blocs de 9 bits (et non 8 bits)
Fiché JS (Web) - 404CTF2022
Compte-rendu (writeup) du challenge Fiché JS, catégorie Web, 404CTF 2022: Derouler l'exécution d'un JS pas à pas dans une apge web pour trouver un code PIN menant à une page cachée contenant le flag
Du gâteau (Web) - 404CTF2022
Compte-rendu (writeup) du challenge Du gâteau, catégorie Web, 404CTF 2022: Forger un cookie permettant d'usurper le compte de l'administrateur, et bypasser la blacklist avec un padding
Chapristi 1/2 (Web) - FCSC2022
Compte-rendu (writeup) du challenge Chapristi 1/2, catégorie Web, France Cyber Security Challenge 2022: Exploiter une SQL injection (via SQLmap parce qu'on n'a pas lu la FAQ)
Chapristi 2/2 (Web) - FCSC2022
Compte-rendu (writeup) du challenge Chapristi 2/2, catégorie Web, France Cyber Security Challenge 2022: Exploiter une SQL injection (via SQLmap parce qu'on n'a pas lu la FAQ)
Gare au gorille (Web) - FCSC2022
Compte-rendu (writeup) du challenge Gare au gorille, catégorie Web, France Cyber Security Challenge 2022: Exploiter une XSS sur un admin fictif pour récupérer son token de login
Login Portal (Web) - FCSC2022
Compte-rendu (writeup) du challenge Login Portal, catégorie Web, France Cyber Security Challenge 2022: Trouver le bypass utilisant des caractères unicodes invisibles