Tiens c'est pas con ça, pourquoi on développerait pas un "tool tout fait" ? Les dictionnaires ont les a...

En gros je m'attendais aux réponses que tu m'as donné, en me relisant j'ai vu où étaient mes propres biais (j'ai fait une sorte de constat général sans même avoir moi-même fait suffisamment de challenges pour pouvoir bien définir les catégories)... Cela dit... (je développerai plus bas) ^_^

Merci pour ta réponse en tout cas, ça fait plaisir =]

... Celà dit, je ne me suis pas apperçue que les challenges ClientSide n'étaient pas essentiellement orienté Javascript, jusqu'ici j'ai résolu presque tous les challenges que j'ai fait en éditant la source en local puis "tu vois ce que je veux dire" ... Peut-être que le challenge sur lequel je bute dans la catégorie ClientSide n'est justement pas orienté Javascript et que du coup, je cherche juste pas dans la bonne direction xD

En effet, les challenges CrackMe sont très Windows, j'ai d'ailleurs eux un soucis avec le 4ème il me semble car il manquait in DLL inchoppable sous Linux, j'ai dû bricoler tout un tas de trucs débiles pour finir par valider l'épreuve alors que sous Windows ça se serait passé beaucoup plus vite. Donc je m'excuse d'avoir parlé trop vite, effectivement Linux est pas forcément plus "pratique".
(ps: Y a tout de même un minimum de choses à savoir sur l'ASM et l'hexadécimal pour réusir ces challenges, j'estime, on n'est pas obligé de les utiliser mais faut au moins savoir comment ça fonctionne, quoi).

Tout à fait d'accord pour les challenges hacking. Là encore j'ai parlé sans avoir parcouru tous les challenges, je me suis fiée à la courbe de progression de difficulté des premières énigmes.

Oui je me doute que ce n'est pas finement représentatif du métier de sécurité ^^ Mais comme tu dis, ça reste une chouette façon d'apprendre des trucs, en gros.

Et bah ! Enfin quelqu'un qui comprend le principe du try hard

Vu l'effet de surprise, j'en déduis que ça n'arrive pas souvent (on doit bien s'en douter, en même temps) xD

Merci d'avoir pris le temps de répondre en tout cas =]

Je suis pas d'accord avec tout, mais c'est toujours intéressant d'avoir des points de vues

Je partage le point de vue qu'il est intéressant d'avoir des points de vues... Du coup, dans mon propre intérêt je pense, j'aimerais savoir à quel sujet tu n'es pas d'accord avec moi, si ça t'ennuie pas d'y répondre =]

Je précise au passage (vu que tu me dis que "je ne connais pas Zmx", ce qui est ma foi vrai, lol):
Je n'ai rien contre toi Zmx, je remarque à l'instant que ma formulation de phrase peut préter à confusion niveau sémantique, on pourrait croire que je me suis sentie agacée en répondant mais... En fait pas du tout xD
Je répondais juste, sans la moindre véhémence, à ta métaphore "TL;DR" que j'ai trouvé appropriée, justement ^^

9086/46049
TL;DR

Bah il pose une question je réponds. S'il ne s'intéresse pas à ma réponse sous prétexte que mon texte est trop long, je lui souhaite bon courage pour la suite  
Mais ne partons pas de ce sinistre postula, je suis sur que BadGuy04 a trouvé ma réponse très constructive   Promis, la prochaine fois, je ferai plus concis !

[Linux Parrot]

Mais, je suis bloqué, je ne comprends pas ce qui est dit sur les forums mais je voudrais continuer. Que faire ? Continuer à apprendre le PHP ? ... Quelle est la prochaine étape pour atteindre mon but ?

Personnellement, à ce stade, je vous conseillerais de vous renseigner concernant les différents systèmes d'exploitation existants et les plus pertinents d'entre-eux pour travailler dans la sécurité info. Personnellement je tourne sous Linux Parrot (une alternative à Kali Linux). Vous l'aurez compris, changer de système d'exploitation pour un système Unix et en comprendre l'intérêt pourrait déjà être une bonne première démarche pour la suite...
Si vous ne connaissez rien aux systèmes Unix, téléchargez un iso de la distribution Ubuntu qui est actuellement la distribution Linux la plus "User Friendly" afin d'apprendre les bases du shell (dont vous aurez constamment besoin) et vous familiariser avec la logique des systèmes Unix.

-> https://www.ubuntu.com/download/desktop?

Non pas que Windows ou Mac ne vous permettent pas de réussir les challenges présents ici, mais simplement que votre vie sera plus belle et surtout plus confortable avec un système plus adapté à ce genre d'exercices  
Du coup pour vous, je dirais que dans un premier temps vous gagneriez à Linuxer ! Si vous cherchez des tutoriels à ce propos, il existe la communauté "openclassroom" (anciennement "LeSiteDuZéro") qui propose des tonnes d'excellents tutoriels francophones concernant les systèmes d'exploitations et la programmation en divers langages (gratuitement).

En fait, nous ne connaissons pas votre véritable objectif, difficile de vous aiguiller. La sécurité en informatique c'est vaste, plus vous allez vous intéresser à des domaines différents plus vous allez développer, entretenir, travailler, une logique concrète pour la sécurité informatique, le hacking.
Autant vous dire que la curiosité est votre meilleure alliée.

Sinon, dans les challenges sur newbiecontest, tous sont susceptibles de vous aider à progresser (ils existent, entre-autres, pour ça), je vais vous lister leurs intérêts, selon moi:

- ClientSide: Les challenges les plus adaptés aux débutants (du moins pour la grosse moitié d'entre-eux) puisque vous avez des bases HTML, PHP, vous ne devriez pas avoir trop de mal à faire au moins la première moitié des challenges.
Renseignez-vous sur les différents types de failles propres au langage de script "Java" et tentez de voir si vous pouvez les repérer sur les différents challenges ClientSide.
Le simple fait de chercher après devrait vous apprendre des choses. Il s'agira beaucoup d'enregistrer les sources pour travailler sur elles en local (forcer le script à afficher le contenu de certaines variables et tout ça).

- Il y a les challenges programmation qui me semblent adéquats mais je n'ai moi-même pas encore commencé cette catégorie, j'y ai juste déjà vu du PHP. Il est évident qu'entretenir des compétences en programmation dans divers langages (j'ai lu que vous codiez également en Python, j'adore ce langage) est essentiel.

- Le Cracking ("CrackMe") est une discipline également très méthodique qui pourrait vous apprendre beaucoup de choses mais c'est très indigeste si vous commencez par là. Le cracking c'est presque de la poésie mais faut pas avoir peur de l'hexadécimal ou de coder un minimum en Assembleur (ASM). Encore une fois les commandes Terminales liées au noyaux Unix vous permettraient de gagner du temps.

- La cryptographie. Certains challenges (les premiers surtout) ne sont pas indisociables de l'informatique, autrement dit n'importe qui munit d'un moteur de recherches pourrait résoudre les premiers challenges. Mais très vite on bascule dans la crypto plus orientée "informatique". Faut s'accrocher mais ça en vaut la peine. Savoir crypter et décrypter en toutes circonstances, de 1 c'est la classe, de 2 c'est toujours utile.

- Les suites logiques sont un genre d'exercice mental sympathique pour apprendre à définir la logique d'une personne qu'on ne connait pas. C'est assez infime niveau "enseignement" mais ça permet de ne pas laisser retomber la hype entre deux challenges informatiques. Comprendre la logique de quelqu'un plutôt que de résoudre une suite mathématique est une activité qui ne peut que vous conditionner à aller dans le sens de vos objectifs.

- La Stéganographie est l'art de planquer des messages dans des supports numériques qui ne sont pas sensé emplir cette fonction. Il ne s'agit principalement pas d'informatique pure et dure, ces challenges sont à la portée de n'importe quel curieux un tant soit peu observateur. Ils pourront toute fois vous apprendre à vous familiariser avec certains logiciels propres au cracking ou aux traitements numériques en tous genres.

- Je ne connais le terme "Forensics" que depuis peu, donc je préfère vous envoyer vers la documentation Wiki: https://fr.wikipedia.org/wiki/Informatique_l%C3%A9gale Je n'ai personnellement pas encore commencé de challenge dans cette catégorie.

- Hacking est probablement la catégorie qui vous intéresse le plus. Mais toutes les catégories présentes ici sont liées de près ou de loin à la catégorie "Hacking". Sur newbiecontest vous ne trouverez que ça, des choses en rapport de près ou de loin avec le hacking. La catégorie Hacking n'est plus 'hacking' que la catégorie 'ClientSide' par exemple, du moins dans les fondamentales.
La catégorie Hacking met à l'épreuve vos connaissances dans toutes les autres catégories présentes ici en plus de vous demander de faire preuve de la rigueur nécessaire à la compréhension de l'exploitation de certaines failles. Vous devrez vous-même trouver les failles ou les créer. Cette catégorie propose des challenges assez diversifiés, certains présentent des failles simples à reconnaître et à exploiter, d'autres vous feront fondre le cerveau si vous n'avez pas le bagage nécessaire dans toutes les autres catégories.

- Wargame, pour l'instant la catégorie qui m'amuse le plus, même si j'en n'ai pas torché un seul, hahaha. De ce que j'ai compris, il s'agira la plupart du temps (si pas tout le temps ?) de faire ce qu'on appelle de "l'élévation de privilèges" (vous approprier les droits en lecture / écriture sur un fichier / dossier normalement inaccessible en vous servant de failles type SetuID.
Il vous faudra un Terminal pour vous connecter à un serveur SSH (Secure Shell), sous Windows il me semble que Putty fait très bien le café mais j'estime qu'il serait plus raisonnable d'aborder cette catégorie sous Linux en ayant un certain bagage concernant les commandes Shell liées au système.


Voilà voilà...

Pour chaque challenge vous trouverez une aide sur le forum (l'icône avec la petite bouée de sauvetage très appropriée, sur la page du challenge en cours).

PS : Ça ne serait pas pour débuter dans toute la sécurité informatique, mais juste sur la sécurité des sites webs.

Tout est lié, la sécurité Web ce n'est pas juste de la compréhension réseau, c'est un ensemble, un ensemble de connaissances assez bien représentés par les catégories présentes ici, sur newbiecontest =]
Soyez curieux au maximum, pensez à utiliser Google (ou autre) à chaque terme qui ne vous revient pas, faites des tests de parcelles de codes en local, créez des machines virtuelles pour faire d'autres tests, lisez un maximum de documentation (y en a ici, catégorie "Tutoriaux" ou simplement sur le forum mais il existe une flopée d'autres sites pour ça, bien entendu ... Google is your friend).

J'attire votre attention sur le fait que vous vous trouvez sur un site de challenges informatiques et non sur un site qui propose des "formations en sécurité Web".
Vous n'aurez que rarement des réponses "claires" à vos questions, ici. Vous n'aurez que des indices et encore, parfois vous n'en aurez pas, vous devrez compter sur l'étendue de votre curiosité et vos facultés de raisonnement pour progresser.
Rien ne vous empêche en parallèle de chercher des cours orientés sécurité informatique sur le net (MySQL, Java, html ...) encore une fois je vous envoie vers https://openclassrooms.com/ pour consulter des tutoriels de ce genre.

Bon courage à vous, le hack c'est jamais terminé, l'apprentissage n'en finit pas mais c'est ça qu'on veut !  

Hello à tous,

Je viens d'effacer mon post car à mon niveau il m'est difficile de poser ma question / demander un nouvel indice sans spoiler les 3/4 de la réflexion à avoir pour réussir l'épreuve.
Je sais que ma démarche mentale est bonne, je sais que j'ai bien compris l'idée mais je ne peux pas en parler publiquement sans spoiler
Il est maintenant 3:30 du matin, je suis dessus depuis quelques heures, d'habitude je ne rechigne pas à chercher plus longtemps car c'est là où se trouve le plaisir dans ce genre d'épreuve mais ici, c'est particulier, car je suis persuadée d'avoir bien compris ce que j'ai à faire... Il me manque juste une information, relative aux commandes Unix, très certainement...

Pourrais-je poser ma question en MP à l'un(e) d'entre vous, histoire de ne pas rester bloquée trop longtemps à chercher des solutions trop élaborées là où de simples commandes systèmes (ou leur syntaxe) suffiraient à remporter l'épreuve ?  
J'aime me casser la tête mais uniquement quand je sens que ça me profite... Là je tourne en rond un peu gratuitement et c'est tout de suite moins agréable. C'est un peu comme connaître une équation, savoir comment la résoudre mais ne pas avoir accès aux valeurs des constantes qui la composent