Code Audit Challenges

Quelques sujets « mineurs » intéressants d’audit de code.

1. Fournir de l'aide aux novices/débutants en matière d'audit de code et fournir quelques routines pour CTF-Web-dog.
2. Pour l'instant, laissez-moi vous dire que les meilleures langues du monde sont :
   1. php
   2. python
   3. nœud-js
   4. Rubis
3. Je voudrais dire à tout le monde à l'avenir : Java et ainsi de suite sont aussi les meilleurs langages.
4. Nous continuerons à organiser et à mettre à jour, et à supprimer/remplacer certaines questions.

• Principales plateformes CTF-JO
• Événements majeurs de la FCDQ
• Parties publiques des plateformes de partage de connaissances telles que Knowledge Planet
• L'imagination des maîtres

Le code impliqué dans la question peut ne pas être suffisant pour prendre en charge directement un environnement complet. Si vous souhaitez créer une simulation localement, veuillez la modifier vous-même.

Ce référentiel ne fournit que des explications et des réponses correspondantes aux points/vulnérabilités intéressants du code original. Si vous avez de bons sujets, merci de les proposer.

• Défi 1 : attaque par extension de longueur de hachage

• Défi 1 : Lecture de fichiers, traitement des URL
• Défi 2 : injection SQL

• Défi 1 : injection SQL

• Défi 1 : phpBogue #69892
• Défi 2 : typage faible PHP, is_numeric(), conversion de type forcée
• Défi 3 : problème d’écriture du fichier de configuration PHP
• Défi 4
• Défi 5 : webshell, contournement waf
• Défi 6 : exécution de commandes, contournement du waf
• Défi 7 : typage PHP faible
• Défi 8 : injection SQL
• Défi 9 : problème de sérialisation de session php
• Défi 10 : php://input, php type faible, eregi
• Défi 11 : injection SQL
• Défi 12 : Exécution des commandes
• Défi 13 : type faible PHP, comparaison strcmp, ereg
• Défi 14 : injection SQL
• Défi 15 : typage PHP faible
• Défi 16 : injection SQL, vulnérabilité logique
• Défi 17 : Couverture variable
• Défi 18 : injection SQL
• Défi 19 : injection SQL
• Défi 20 : injection SQL
• Défi 21 : Comparaison des types faibles stripos et php
• Défi 22 :
• Défi 23 : Couverture variable
• Défi 24 : injection SQL
• Défi 25 : Hérédoc
• Défi 26 : typage faible en PHP
• Défi 27 : variables globales php, $GLOBALS
• Défi 28
• Défi 29
• Défi 30
• Défi 31
• Défi 32
• Défi 33
• Défi 34
• Défi 35
• Défi 36
• Défi 37
• Défi 38
• Défi 39
• Défi 40
• Défi 41
• Défi 42
• Défi 43
• Défi 44
• Défi 45
• Défi 46
• Défi 47
• Défi 48
• Défi 49 : Attaque par extension de longueur de hachage
• Défi 50 : injection SQL
• Défi 51
• Défi 52
• Défi 53
• Défi 54 : Rembourrage Oracle
• Défi 55 : SSRF
• Défi 56 : injection SQL
• Défi 57
• Défi 58
• Défi 59 : Collision de hachage
• Défi 60 : Exécution des commandes
• Défi 61 : SSRF
• Défi 62 :
• Défi 63 :
• Défi 64 : type faible PHP, débordement d'entier PHP, pseudo-protocole PHP, etc.

• Injection SQL

  • PHP :
    • Défi 8
    • Défi 11
    • Défi 14
    • Défi 16
    • Défi 18
    • Défi 19
    • Défi 20
    • Défi 24
    • Défi 50
  • Rubis:
    • Défi 1
  • Noeud.js :
    • Défi 2

• exécution de la commande

  • PHP :
    • Défi 4
    • Défi 6
    • Défi 12
    • Défi 60 : Exécution des commandes

• Comparaison de type faible, etc.

  • PHP :
    • Défi 1
    • Défi 2
    • Défi 7
    • Défi 10
    • Défi 13
    • Défi 15
    • Défi 21
    • Défi 26
    • Défi 64

• Désérialisation

  • PHP :
    • Défi 9

• remplacement de variable

  • PHP :
    • Défi 17
    • Défi 23

• lié à la cryptographie

  • PHP :
    • Défi 49
    • Défi 54
    • Défi 59
  • PYTHON:
    • Défi 1

• autre

  • PHP :

    • Défi 1
    • Défi 3
    • Défi 5
    • Défi 25
    • Défi 27
    • Défi 49

  • Noeud-js :

    • Défi 1