NewbieContest

Salut, je vois pas du tout quelle peut être la faille de ce moteur de recherche... j'ai essayé un tas de mots mais il ne trouve rien, j'ai essayé une injection sql mais ca donne rien...

une petite aide serait la bienvenue... =D

Ralala j'ai même pas le temps d'annoncer le retour de cette épreuve (offline depuis pas mal de temps) que tu postes déjà pour avoir des indications! :lol:

Donc Annonce : cette épreuve est de retour !

Pour te répondre, ça n'a rien à voir avec une injection SQL. :wink:

hehe j ai trouver
marrant comme epreuves =)
connaissait pas cette faille

C'est une des failles les plus basiques qui existent, et tu peux en trouver un peu partout ;)
Comme ça on dirait qu'elle est pas méchante, mais si tu sais bien l'utiliser tu peux faire pas mal de choses ^^

A vrai dire, j'ai une petite idée mais je sais pas trop si c'est ça : une ex** ré***... est-ce que je suis bon ou pas?

Sa doit etre la faille la plus connue :shock:
J'ai reussi du premier coup, meme pas besoin de chercher :|

vraiment, là je sèche... elle doit être trop connue pour moi ?!?! :shock:

un indice svp :oops: (html?)

Cherche la faille la plus simple!
Elle se trouve souvent dans des livres d'or mal programmés etc...

J'ai honte... :oops:

J'avais commencé à faire ça mais avec d'autres b****es mais je n'avais pas pensé à celle-là...

merci bcp jenova, à vrai dire je ne connaissais pas du tout cette faille... miam c'est vrai qu'on peut en faire des choses intéressantes avec ça :shock:=D

Oui tres tres interessantes meme :)
J'ai pu faire bon nombres de choses avec cette failles :evil:
hehe ^^

Moi j'ai compris qu c'etait avec des b****es mais je vois pas laquelle il faut utiliser...:?

en recherchant vite fait sur google f****e l***e ** tu va trouver tres facilement.

Ha y est z'ai trouvé!!!
Google est mon ami...=D

Bouhou je trouve pas... :(
J'ai fait plein de recherches avec google mais je voie pas quel genre de faille ça peut être...
Je suis trop nul peut-être? Ou alors j'ai pas cherché sur les bons sites...

Une des failles les plus connues... ;)
Pas très méchante en apparence, mais si on sait bien l'utiliser elle peut s'avérer TRES efficace! :lol:

arrggggggh :/ je vois rien la... j'ai deja fait des tests dans la barre mais on me dit de pas fouiner partout alors la je vois aps trop ce ke je peux faire d'autre....
un **No Sms** indice :P

erax0r,c'est une faille qui te permet d'inclure du code dans un formulaire,qui est ici un formulaire de recherche.
Si avec cet indice là tu n'y arrive pas... :|

PS:Si j'en dit trop,censurez moi

Cette épreuve m'a donnée soif! :wink:

(Elle est tout à fait possible)

Citation pour l'épreuve 5 de hacking : "Quand POST s'absente GET apparaît, ainsi que ..."
(Ahaha vous croyiez quand même pas que j'allais vous donner le pass! En fait avec un peu d'argent... bon je sors ^^)

Je crois avoir bien compris de quelle genre de faille il s'agit (X** ) mais je ne vois pas où rentrer le script dans la page.
un peu d'aide ne serai pas de refus^^.
je vais continuer à chercher dans mon coin pendant ce temps.

Bonjour,

moi je pense avoir trouvé quel type de faille il fallait exploiter, mais impossible de trouver le bon code a inclure après le php, j'ai trouvé quelques exploits, mais pas de "techniques génériques", à moins que je sois sur une mauvaise voie. Faut-il se créer un serveur pour y stocker un fichier auquel on ferait appel ou l'épreuve est-elle faisable avec simplement la bonne commande ?

Merci d'avance

Tu n'es apparament pas sur la bonne voix.

Fait simple, tres simple.

C'est en general la premiere chose que l'on teste quand on cherche a exploiter une faille sur un site.

Bonjour à tosu je voudrais savoir s'il était possible d'avoir des nouveaux indices svp car je suis un newbie mais j'ai sois d'apprentissage le seul truc c'est que je ne sais pas vraiment de directive donc je ne sais pas trop par ou commencer, j'ai un peu bidouiller l'adresse et j'ai trouvé un truc qui me disais que je ne suis pas admin!! Un peu d'aide svp

Essais de te renseigner sur les failles web et tu trouveras ! ;) Pour cette epreuve il s'agit d'une des failles les plus connues!

Bonjour à tous, est ce que la faille est du genre include? J'spère que j'en demande pas trop mais le truc c'est que je cherche j'essaye mais mais la faille include ça n'as pas vraiment l'aire de fonctionner donc suis-je dans la bonne voix ou pas du tout???? Merci d'avance et dsl!!!

Renseignes toi sur les failles web !
Celle la est une des plus connues !

S'il vous plait arreter de me dire que c'est une faille des plus connues je pense que je l'ai compris mais google ne me parle que de la faille include svp données une voix un truc à suivre svp apart bien sur que c'est une faille connues!!! Car même des failles connues y'en a beaucoup alors voilà juste me dire sur quoi je dois me baser ou je sais pas un tout petit indice en plus svp!!!

On peut pas trop t'en dire plus....
Je pense que si tu cherches sur google tu devrais pouvoir trouver au moins le nom de quelques failles, ensuite c'est facile de trouver des tuto dessus !
Et regardes dans la partie tuto de newbiecontest je croi qu'il yen a une ou deux !

je vote 0 pour celle-ci ...

Autant c'est en effet une des faille les plus connu, autant rien n'indique que l'on doivent s'en servir
(En essayant de pas donner d'indice ....)
Quand il y as ce genre de faille, on voit ce qu'on tappe :p (là on voit rien)


De plus on ne peux valider l'epreuve que si on utilise la faille "des de le debut", elle ne supporte pas les prefix (ce que la vraie faille supporte sans broncher ... )

Bonjour, je voudrais savoir s'il y avait un rapport avec la faille des livres d'or? car ayant deja fait des epreuves sur ça je ne vois pas comment l'exploité...

Merci a ceux qui répondront

Sur ces épreuves simples, trouver le type de faille à exploiter est justement le but, l'exploitation en elle-même étant presque triviale.

Donc non, on ne va pas te dire quelle faille c'est =)

Salut,

Je suis débutant je connais vaguement quelques failles et pourtant j'y arrive.
Ne chercherz pas bêtement ! =)
Le site possède une mine de documentation. Il est dommage que vous ne profitiez pas de ça !!

Un recherche de 5 secondes + une lecture de 15 minutes suffissent pour trouver la faille.

Allez dans articles/tutoriaux

Faille très mal présentée, n'indiquant en rien sa nature. De plus je ne vois pas pourquoi la faille ne marcherai pas si on laisse ep5 au début, 15fois que j'essaie en laissant ep5, qui ne change en rien le résultat logiquement .... merci de revoir ça.

J'ai trouvé l'épreuve trés mal présentéé, ça aurait été mieux avec une situation "réelle" (vu qu'on est sur un site à but didactique, on ne hack pas vraiment) parceque là ...

Heureusement qu'il y avait l'indice du livre d'or.

Salut à tous.
Bon voilà je vous donne mon avis en tant que débutant.
Il faut pas se mettre en tête de trouver un mot de passe, comme dans une épreuve de stéganographie par exemple.
Le but et de se mettre dans la situation ou on voudrait exploiter une faille d'un site, pour voir "ce que ça donne".
Et là, au final on tombe sur l'info que l'on cherche (l'info en elle même n'existerait pas dans une vraie situation).
J'ai du faire des recherches sur internet, et tenter plusieurs trucs.
J'ajoute que j'ai pas tout compris à cette faille d'ailleurs  =).

lol bon ba on va reprendre depuis le début!!
On ses:
Que c'est une faille qui proviens des includes, et que l'on doit utiliser les pseudo frame
=) c'est déjà un début lol

moi je n'ai qu'un seul smiley à dire : o_Ô

Franchement, un peu de jugeotte ne ferait pas de mal (je parle d'une manière générale). Là c'est quand même la base bon sang ! Il suffit d'avoir des yeux, de les ouvrir, et de regarder un peu partout ! C'est ce que font les gamins à la naissance ! 'fin c'pourtant pas compliqué de regarder, et de se dire "Tiens mais à quoi ca sert ça ?".
L'option brain.exe (ou.deb pour les nux users quoi que, un nux user l'a installé de base ce paquet je pense) ca sert a quelque chose, alors oui, il faut reflechir, mais si on reflechit pas on va pas loin dans la vie !
Sortez vous un peu les doigts du c**, il y a des papers partout pour apprendre. Meme le libraire au coin de la rue (oui, celui qui fait l'angle là, a coté du boulanger) il a de la doc la dessus !
Ah et puis extended, il faut pas croire tout ce qui est écrit hein (je pourrais tres bien te dire que je suis une blonde a forte poitrine de 25 ans, mais tu n'en sais rien, et ben c'est pareil partout sur le oueb) donc vérifie au moins sur 3 sources différentes les infos que tu as.

'Fin voila moi je m'en fous, c'pas pour moi, mais arretez de nous bassiner pour rien ! C'est limite chi*** ! (limite étant bien sur un doux euphémisme :p) Si vous trouvez pas, et ben google (et oui, on y revient mais ca reste quand même un bon moyen pour apprendre comment ca marche dans un ordi).

(/me verse une larme émue en pensant à Bufferbob, qui aurait compris la longueur de mon post)

Enjoy

The lsd

Eh bah j'ai enfin trouvé (apres quand même 2 semaines de recherche )
oui bon vous allez dire que je suis pas doué mais j'ai quand même vu des gens de haut-level
qui était galère donc message a tout ceux qui galère:

BON COURAGE !! c'est faisable! =D

(enfait faut comprendre l'idée de la faille , essayer n'importe quel possibilité et ca marche même si ca vous semble faux essayer quand même)

Voila @++ all Vive NewbieContest ^^

Voila je suis arrivé sur une nouvelle page me disant ne fouine pas n'importe ou petit hacker en utilisant la faille en question . Dois-je continuer a l'exploiter pour finir l'epreuve?

Non  ;)
Ca veut dire que t'as réussi à rien du tout, et que t'est sur une mauvaise piste.

EDIT:
Par ailleurs...

Non je pensé plutot a un faille include ?!

Continue sur ton chemin, et tu verras bien
Si ca marche pas alors, tu sauras que ce n'est pas ca
Au fait, la méthode a suivre est donnée sur le forum. Relis bien :/

Moi ce qui m'intéresserait ce n'est pas quelle faille c'est, ni le pass ( quoi que  :lol: )  ....mais au lieu de dire cherche sur google... cherche sur google... il faudrait plutôt aider dans le sens

"Comment savoir qu'il y a une faille"

Sur ce.. enjoy moi je go lire des tutos  :|

Je tombe toujours sur ca : Cherche donc encore un petit peu, c'est normal ?
j'ai essayé XSS et SQL Injection, mais rien (puis le XSS sert a rien j'ai l'impression, vu que il est meme pas mis dans la page :/)

essaye les failles le plus simplement ....

ah.. oui en effet j'ai trouvé, mais je trouve que c'est pas terrible, c'est pas du tout cohérent.., (blabla......blablabla)

Merci d'éditer ton message, tu en dis trop. Ce genre de discussion a sa place dans les afterwards.
Mais sur le fond, je suis effectivement d'accord avec toi, cette épreuve est mal fichue. Ça tombe bien, elle ne vaut pas beaucoup de points, et il y en a des beaucoup plus réalistes dans la suite.

Cette épreuve est totalement inintéressante.
Elle ne reflète pas du tout la réalité, car la page résultante ne montre aucun dynamisme ce qui est le cas dans la réalité (affichage d'un nouveau message...).
La seule difficulté se trouve dans la tentative de compréhension de ce qu'a voulu faire l'auteur avec ce test.

Dommage.

Tu dois te dire que l'épreuve est au début, donc pour ceux qui ne connaissent pas cette faille, ils l'apprennent là et je trouve ça correct ainsi. De cette façon, ils progressent lentement et apprenne peu à peu le hacking. Si tu veux t'amuser un peu, les 14 dernières sont très réalistes et plus difficiles  ;)

Enfin un peu de bon sens, merci mathgl24.

Ce fut un plaisir Mr_KaLiMaN  ;)

Voila j'ai eu le droit a "vous n'etes pas adim", "vous ne venez pas du site de la maison blanche" lol et j'en passe! j'ai regardé leur source mais rien à faire! je ne sait plus quoi faire.....

Mais qui est donc ce adim OO' ?


C'est un bon reflex de regarder le code source mais il n'y a pas que cela à faire. Regarde bien le titre de l'épreuve, un gros il s'agit d'un challenge ultra connu; tu vois la faille en question pratiquement sur chaque site traitant de la sécurité du Web tu ne peux pas l'avoir manqué.

Un bon truc à faire aussi c'est de tester l'url et voir ce que tu peux faire avec. Avec les indices donnés dans les messages qui précédent l'épreuve ne devrait plus te résister longtemps !  

Bon courage pour la suite.

Désolé je voulais mettre "admin" lol merci pour ton encouragement lol je m'y remets de suite!

tu réflechis pas assez où  pas de la bonne façon.
Pour entrer chez toi il te faut la clé, Sur un site c'est pareil il te faut quelque chose. Quand tu aura trouvé quoi cherche une faille qui est capable de te procuré ce qu'il te manque.
Oublie pas non plus que c'est ue simulation de faille  =)

L'image de la clée qui ouvre la porte c'est la tarte à la crème ça, combien de fois j'ai vu ça en guise d'explication sur un forum consacré à la sécurité du Web  :rolleyes: !
Sinon ta métaphore n'est pas très explicite car tu ne dis pas grand chose de vraiment intéressante (that's whut i'm doing ofc) mais bon ça part d'une bonne intention quand même...

Mais sais-tu ce qu'il te faut pour reussir cette épreuve ? Sa sert à rien d'exploiter une faille si tu sais pas à quoi elle sert.
Si tu trouve se qu'il te faut tu reussieras cette épreuve  =D

Bien le bonjour,

Je débute sur ce site, et je n'ai pas encore passé tout dans le Hacking, ceci-dit, même si moi j'ai trouvé ce challenge assez facile, je comprend bien que certaines personnes aient plus dure, mais à quoi est ce que sa sert de mettre sur toutes les pages d'aide, des messages pour dire : "C'est dur", "Je n'y arrive pas", "C'est faisable çà?! :shock:" si ce n'est de remplir la BDD ?

Cependant, je vous souhaite un bon amusement à tous.  =)

Effectivement pourquoi dire juste "au secours"... Tu as bien raison, mais le monde est rempli de c0\/\/80y t4pZ, donc on y changera rien

Tiens du coup je vais faire le menage sur le topic !

Enjoy

The lsd

Edit : ben voila 3 pages de moins, on se sent mieux à virer les posts pourris

Salut, c'est mon premier post sur le forum.
Conçernant l'épreuve, j'ai exploiter une faille que je pense pas mal du tout, mais je tombe sur une page me disant : "Et la marmotte............etc...."
Est-ce un indice pour le mot de passe ou bien je ne suis pas du tout sur la bonne voie?

Merci a tous

PS : Censurer moi si j'en dit trop

Bonjour,

cette epreuve fonctionne t'elle toujours?
je suis presque sur de mon coup mais rien n'y fait.

Merci

Encore une fois, les épreuves fonctionnent. Si ça ne fonctionne pas, ce n'est pas de la faute de l'épreuve mais du challenger.
99% des problèmes informatiques se situent entre la chaise et le clavier...

Enjoy

The lsd

Je rajouterai juste qu'il suffit de regarder la date de la dernière validation afin d'avoir une idée et savoir se remettre un peu en question!

bah..... sois je suis con mais.. j'ai bien identifié le type de faille, mais alors apres.....

Bonjour,

Si tu as bien identifié la faille, alors je ne vois pas ce qui te déranges...
Si tu as la faille, et que bien sur tu l'appliques, tu auras réussi cette épreuve.
Si tu ne l'as pas, google is your bestfriend.

mOuChOu

Moi il y a un truc que je trouve bizarre ...

Le premier post parle d'un moteur de recherche mais moi je ne vois rien qui ressemble à un moteur de recherche quand je vais sur l'épreuve.
Quand je clic sur "Accéder à l'épreuve je tombe directement sur une page qui dit cherche donc encore un petit peu, c'est normal ?

:'( J'avais viré 99% des posts qui parlent de ce formulaire de recherche. T'es tombé sur un des seuls messages restants. Il y a eu un formulaire. Mais il n'existe plus. Donc on fait comme si il n'y en avait jamais eu ok :)

Enjoy

The lsd

Je confirme que cette énigme est vraiment mal faite.
Il n'y a aucune raison d'exploiter cette faille dans ce contexte, même s'il est vrai que c'est une faille super connue.
Du coup j'ai tourné en rond autour d'autres failles tout autant classiques, et qui se prêtaient plus à la situation.

Mouahhahaha  :evil: :rolleyes: :twisted: :x

Désolé je pête les plombs sur celle là xD

Donc, en résumé, on doit se concentrer sur l'url ...

Soit, bonne chance nous tous xD

Epreuve simple, suffit de lire le site ^^.

Modération :  Stooooooooooooooooooooop ! On arrête les posts inutiles.

Dommage je trouve l'épreuve assez mal fichue en gros j'ai trouvé dès le début mais j'en avais mis trop. Donc oui qui peut le plus peut le moins mais ca aurait été cool qu'avec quelques arguments en plus ( qui sont totalement justifiés en situation réelle ) l'épreuve soit aussi validée ...

Aux personnes qui ne débutent pas totalement et qui tourne en rond, épuré totalement votre i*j*c*i*n, le seul chalenge est de découvrir le type de faille ( j'espère ne pas en avoir trop dis)

☠   Salut LSD,je vois tres bien la faille mais jais bon l'inclure dans tout les sens ca ne donne rien ? :/   ☠

Ben c'est que c'est pas cette faille là alors :)

Enjoy

The lsd

☠  Ok merci pour ta réponse quoi que je face je tombe toujours et encore sur ce texte " Fouine pas n importe ou petit hacker ;)"  lol  :/ ☠

Ce n'est pas une faille d'include pour ce qui cherche encore a inclure un script malveillant :)

Bonjour j'ai essayé la faille /* modéré */ mais je sais pas si c'est ca je trouve pa sur google

A censuré ce message --'

Aucune description ...
Je sèche la ...

Trouvé  :(
Très très mal expliqué !

P.S. : Revoir /*modéré : les afterwards sont là pour ça */ ;)

Salut!

Bon alors moi je suis perdu!!!

J'ai essayé les failles XSS, include, injection SQL, formulaires (au cas ou...) et rien ne marche.

Vous avez beau dire google est mon ami mais c'est inutile de répondre cela!!! Un minimum de rigueurs serait la bienvenue.
Car google est mon ami depuis très longtemps que je suis sur cette épreuve (et même avant) et pourtant malgré les nombreuses solutions qu' il me donne (il est gentil lui!!!), aucunes ne marche.

Merci de m'indiquer une petite voie.

PS: les phrases du type tout est expliqué dans les posts antérieurs et encore plus inutiles (car lu et relu en long et en travers) merci de votre compréhension.

Il faut qu'elle vienne de toi la rigueur; aide toi et le ciel t'aidera :)

Fin très fin...passons

Tu vient de dire la réponse dans cette phrase la ...

Ok trouvé!!

merci ;)

je galere sur cette epreuve depuis pas mal de temps ,pourriez vous juste me confirmer que c'est une faille XSS ou je perd mon temps ? j'espere ne pas en dire trop si c'est ça :s

Les premières pages te donnent souvent la réponse.

 =D indice : un peux de marketing dans cette épreuve :))))) très repandu

oO
euh... "tres mal explique", c'est le moins qu'on puisse dire !!
Si vous connaissez un peu les failles, c'est sur c'est rapide, mais sur cette epreuve, il n'y a pas moyen de faire le lien entre ce qu'on fait et le resultat qu'on obtient...

Cette faille peut se trouver tres compliquee pour tous les niveau, depend du taux d'acceptation des inepties d'autrui.
bon courage

PS : dsl pour les accents, clavier qwerty

Hum pour Info oui cette faille et très connu et question Injection heu je dirais oui et non voilà

PS : Supprimer si j'en ais trop dit  :|

Edit de the lsd : 1/ j'ai pas besoin d'autorisation pour supprimer ton post 2/ Quelle est l'utilité d'un tel message ? Réponse : Aucun !

TT j'en peux plus j'ai cherchais des failles "des plus connues" et j'y arrive pas je n'ai rien trouve je n'ai pas avance depuis 2 jours  :cry:
ca serais pas des failles X** ???

Essaie et tu verras bien...  :wink:

Alors là, franchement, cette épreuve doit être la plus bidesque du site. J'ai cherché comme un bourrin a tenter de trouver, ya rien d'indiquer on sait pas quoi checher....
Finalement j'ai juste fais une vieille recherche google pour trouver un truc bidesque -.- .
J'ai même pas compris ce que j'ai fais, c'est dommage. Elle est a améliorer je pense  :|

Vous parlez tous d'un formulaire ...

je ne vois aucun formulaire sur la page est-ce normal ?

Le formulaire existait AVANT. L'épreuve a été modifié, et le form a été supprimé. Mais cela ne change pas grand chose à l'épreuve

Enjoy

The lsd

**No Sms** demande bien ce que le script du challenge attend dans get url...
j'ai essayé tout ce qu'il ya de plus courant, me semble t'il.
bref, je passe :)

Urdo, est-ce que tu as lu la page 6 du topic ?

Si tu ne l'as pas fait, alors je te conseille vivement de le faire, tu pourrais trouver la réponse en 30 secondes !!

dites, je séche aussi: je vois pas de quel moteur de recherche vous parlez

Bon, déjà on ne parle pas d'un moteur de recherche, mais juste d'un formulaire html. C'est pas pareil.
Et ensuite, tu as la réponse TROIS POSTS PLUS HAUTS !

Enjoy

The lsd

J'aimerais donner un peu de courage à ceux qui rament ...
1) L'épreuve fonctionne
2) La réponse est donnée de multiples fois dans ce fil
3) Cependant la manière de déclencher le mot de passe est un peu inattendue mais c'est bien la bonne faille !
4) Autant Google peut servir d'inspiration, autant j'ai testé avec une astuce trouvée dans les forums ici-même, j'ai vu plus haut dans le fil 10 minutes de lecture, en 2 min  j'avais mon idée, même si j'avais aucun espoir qu'elle marche tel quel.
Je conclurai avec un "Merci Folcan ^_^" ! ;)

Bonjour, j'ai réussi l'épreuve mais une question me reste en tête. Est-ce qu'il est vraiment possible de faire du dommage avec cette faille?

Juste pour dire qu'avec Firefox et NoScript il y a comme un petit souci...du genre "No script a détecté une tentative de script entre sites..."  =)
voilou

Personnellement je trouve ce challenge excellent. :D
J'y ai passé du temps et à force de chercher, j'ai appris beaucoup de chose lié aux failles.
L'indice donné est en faite amplement suffisant. :P

Oui, on peut faire beaucoup de dégâts avec ça, bien que ce ne soit pas courant de la trouver !
Je vais pas en dire plus ici, sinon je vais me faire censurer  =D

Pas courant ? Cette faille là ? C'est la plus commune aux sites Web, et d'ailleurs, le titre de l'épreuve l'indique bien !

Pour répondre à la question, oui, ça peut être bien maychant cette faille, comme le prouve par exemple /* Modéré : c'est la première fois que je modère un modérateur, mais cette discussion devrait avoir lieu dans les afterwards */. Bien sur, il faut que certaines conditions soient réunies pour aller aussi loin, mais c'est faisable !

Enjoy

The lsd

Bonjour

Je commence apprendre a hacker,programmer, décrypter , etc....... je suis vraiment a la base de chez base et j'ai réussi 2 épreuve grâce a ma chance

Pour commencer j'aimerai ,si possible, que qqu me donne qqu lien pour apprendre le HTML facilement ou plutôt le comprendre. Et surtout des aides sur des mot comme "failles" : /* se que c'est , comment les trouver et comment on peux les utiliser*/


Cordialement,
Zillkinn le newbie qui vous veux du bien =)

Bonjour Zillkinn,

Je te suggère de visiter : http://www.siteduzero.com/ ce site propose plusieurs tutoriaux qui peuvent constituer une bonne base pour débuter.

Tu peux également consulter la section "Tutoriaux" du site: http://www.newbiecontest.org/forums/index.php?board=29.0

Par la suite, si tu souhaites sérieuse apprendre sur le domaine, je te suggère très fortement d'apprendre à bien te servir de Google ou de tout autre moteur de recherche car, c'est cet aprentissage qui constitue la base des bases et c'est sans nul doute ce qui te permettra de progesser le plus rapidement et le plus efficacement.

Bonne journée,

Thal

Bonjour Thal

Enfin une réponse après ces long jours d'attentes.

Dans un 1ere temps , je voudrai te remercier pour ces excellent conseil
Dans un second temps , je me demande se que tu veux dire par " Apprendre a bien te servir de Google" :o

Je te remercie encore pour les liens de tutoriaux et pour ta réponse

Cordialement

Zillkinn , le newbie qui vous veux du bien

-------------

Re bonjour Thal

Je te remercie encore pour ce site de tutoriaux mais je me perds dans les titre et sous-titre excessif
Il est très intérraissant ce site mais par ou dois-je commencer ...Aide moi stp  :wink:

Cordialement,
Zillkinn le newbie qui vous veux du bien  

Edit de Asteriksme : ce coup-ci j'ai regroupé tes messages, mais à l'avenir essaye d'éviter les doubles posts ! le bouton "Modifier" sert à ça.

Rebonjour,

Si tu veux apprendre la base du web, commencer par la section "Site web" serait un bon début.

HTML/CSS :
http://www.siteduzero.com/tutoriel-3-13666-apprenez-a-creer-votre-site-web.html

Javascript :
http://www.siteduzero.com/tutoriel-3-309961-dynamisez-vos-sites-web-avec-javascript.html
...

Pour ce qui est d'apprendre à te servir de Google, c'est avant tout d'être autonome sur le web dans le but de trouver toi même les réponses à tes questions.

Bonne soirée,

Thal

 Bonjour Thal

Merci pour tout et bonne chance a l'avenir =)

Cordialement,
Zillkinn le newbie qui vous veut du bien

Bonjour. Je sais pas si cette épreuve est à présent bugée ou non, mais c'est complétement illogique de trouver une faille ... ici. Ce qu'on écrit dans l'url n'apparait pas dans la page, alors les gens qui disent "j'ai trouvé du premier coup", je leur répondrais "selon quelle logique ?".

Cette épreuve est absurde, merci de vérifier son bon fonctionnement.

Salut,
je viens de vérifié elle marche très bien ...

bon courage  ;)

Mauvaise épreuve... très mauvaise. Pour 1 point (donc pour les débutants), c'est très moche de mettre une page statique avec une simple validation PHP pour déterminer si on exploite la faille ou non.

Je comprends la question de ne pas créer une "vraie" faille (haha!) mais un peu de réalisme aurait été bien.

Je suppose que le but de l'épreuve est seulement de faire découvrir aux "débutants" l’existence de cette faille, et les balbutiements de son exploitation. Bref, si tu veux plus de réalisme, attaque toi aux autres épreuves.

Plutôt sympa l'épreuve!
Et pour ceux qui galèrent, en fait c'est tout con!  :lol:

Suis nouveau sur le site, mais c'est vrai que cette faille est simple et sympa.
Faut pas se casser la tête =)

Je ne comprend pas le but.

Je ne sais pas vraiment se que je dois chercher, sur cette page "vide".

Cette épreuve n'est pas réaliste du tout, je ne sais même pas comment elle a fait pour avoir 3 étoiles sur 5.
Essaye plein de trucs dans ce que tu pourrais potentiellement modifier.
Mais il en faut un précis. J'en ai testé d'autres qui fonctionneraient très bien en temps normal mais qui ne valident pas car la simulation est pourrie.

Enfin bref, de toute façon il n'y a pas ce type de faille sur cette page, c'est du bon gros fake raté.

Edit : c'est exactement ce que dit mujaflore plus haut, et je suis tout à fait d'accord.
Et quand oxame répond : mais non je viens de vérifier, ça fonctionne très bien...
Bah euh... Cool story bro ! La validation par regex fonctionne très bien, mais c'est complètement illogique.

Je propose une nouvelle épreuve :

Le titre nous en dit déjà beaucoup :P

On peut avoir un indice (type de la faille, où il faut regarder (url, page, cookies..)) ?
Si c'est trop demander un petit indice tout de même ?
Merci.

Edit : trouver ! C'est trop simple.  Indice : /* Modéré : Pas besoin de ton accord ;) */
Dite le moi si c'est trop en dire.

Bonjour,

Petite aide pour ceux qui galèrent et qui pensent avoir trouvé, tentez de changer de navigateur, ça peut aider...Iceweasel ne validait pas pour ma part...

Bonne soirée !

Mouahahaha ça sent la rage :)

cependant je suis un peu en accord avec lui -> le fait que la faille soit simulée, ça ne m'as pas aidé non plus.
En fait, mon conseil pour les suivants qui vont chercher : ne lisez pas trop ce topic, il va vous embrouiller.

Bonjour

Je suis confronté à un problème, je pense que je dois utiliser la faille sql, mais quand je teste http://www.newbiecontest.org/epreuves/hacking/verifhk5.php?url=ep5' (avec quote), il n'y a pas d'erreur, est ce que c'est normal ou c'est une erreur dans la simulation de la faille?

Je rejoins à 100% wiwiland sur le coup de gueule face à cette épreuve.

• Ce n'est même pas une faille à proprement parlé puisqu'elle n'apparait pas sur la page et donc ne sert a rien. À moins que la variable "url" soit stocké quelque part et qu'elle ressorte sur une autre page, mais ça n'a pas l'air d'être le cas ici.
• La payload a entrer est beaucoup trop strict, il y a pleins de variantes qui devrait être prise en compte: Majuscule/minuscule mais surtout celle avec l'attribut "type"... Il m'a fallut du temps pour comprendre qu'il n'y avait qu'une seule b****e exact

Cherchez pas trop loin  =)
Récapitulatif :
-Faille très connut
-Dangereuse si bien exploitée
-Se trouve dans les livres d'or

Juste ça, réfléchissez ou trichez un petit coup sur google et vous trouvez tout de suite.  ;)

Alors la j'avoue etre un peu interloqué ..
Je vois exactement de quelle faille il s'agit et comme l'exploiter .. Mais je ne vois pas le fameux moteur de recherche en question ..
Vider le cache du nav, et j'ai remarqué qu'il y avait une validation a 1h ce matin .. Donc l'épreuve fonctionne ..

Le moteur de recherche en question existait dans une version précédente de l'épreuve, tu peux toujours chercher, il n'existe plus ^^'

Enjoy

The lsd

Elle est nulle cette épreuve...En fait c'est la présentation qui est mal faite. Normalement lorsqu'on stimule en donnant des valeur, la page est censé réagir autrement. Du coup on en déduit qu'on peut utiliser cette faille.

Or là rien quoi, suffit d'écrire 1 truc juste et boom on a la réponse.

C'est une épreuve pour les débutants comme toi.
Donc c'est pas nul !!!

Si tu cherches plus compliqué, t’inquiète, ça va venir...Mais peut être que c'est toi qui seras nul cette fois ci. :wink:

Salut à tous

J'avais laissé cette épreuve de coté, et j'ai retenté ma chance.
Et Bingo, vraiment simple cette épreuve.

Aucun rapport avec les injections.
C'est pas compliqué, un petit malin a utilisé un scanner pour récupérer l’arborescence du site, et il s'est fait grillé.
Du coup, BAM, l'IP a été bloquée. Tu pourras remercier ton petit camarade, il y a un ou deux jour(s) de ban pour les 40 élèves !

Enjoy

The lsd

Je suis resté bloqué quelques minutes à me demander quoi faire. L'indice m'a induit en erreur et la "présentation" du challenge ne met pas (mais alors pas DU TOUT !) sur la voie. Challenge à refaire à mon avis ...

Moi j ai appris des trucs,
Notamment a me servir des Tuto de newbie :)

Epreuve qui n'a aucun sens...
Faire parler des variables serveur ok, mais simplement afficher un message parce qu'on a mis un mot clé...
Comment dire...
Je ne vois même plus le rapport avec du hacking.
 :rolleyes:

Après, il ne faut pas oublié que c'est une épreuve à 2 points, qui plus est, la troisième plus validée de la catégorie. Donc oui, sans grand intérêt pour celui qui maîtrise déjà le sujet, mais qui permettra sans doutes à beaucoup de débutants de se faire une petite idée des éléments à manipuler pour la suite. Et comme le savoir n'est pas inné, laissons le temps aux "jeûnes" d'apprendre à marcher.