đ Mission 1 : S'introduire dans le rĂ©seau
đ Ce que vous allez voir
Dans cette mission, vous allez explorer le fonctionnement dâun site web du point de vue dâun navigateur et analyser comment il communique avec un serveur.
- Le modĂšle client-serveur : Comprendre la relation entre un client (navigateur) et un serveur (site web).
- Les requĂȘtes HTTP : Observer comment les donnĂ©es sont Ă©changĂ©es entre le navigateur et le serveur.
- Les différents types de fichiers : Identifier les fichiers chargés pour construire une page web (HTML, CSS, JavaScript, images, etc.).
- Les rĂ©ponses du serveur : Comprendre les statuts des requĂȘtes HTTP (200, 404, 500, etc.).
đ Pourquoi c'est important ?
- Comprendre comment un site web rĂ©pond aux requĂȘtes : Chaque interaction repose sur des requĂȘtes HTTP envoyĂ©es au serveur.
- Identifier des points de faiblesse : Certains fichiers ou requĂȘtes peuvent exposer des informations sensibles exploitables.
- Développer des compétences essentielles en cybersécurité.
đ ïž Outils
- Navigateur Web : Chrome ou Firefox.
- Console de développement : Accessible avec
F12, onglet "RĂ©seau".
- Site cible : example.com
đ Mission
1ïžâŁ Ouvrez le site cible et activez la console rĂ©seau
Appuyez sur F12 pour ouvrir la console de dĂ©veloppement et allez dans lâonglet "RĂ©seau" pour observer le trafic rĂ©seau en direct.
Pourquoi ? : Cela permet de visualiser les requĂȘtes envoyĂ©es au serveur et leurs rĂ©ponses.
2ïžâŁ Analysez les requĂȘtes envoyĂ©es par le client au serveur
Rechargez la page (F5) et observez les requĂȘtes gĂ©nĂ©rĂ©es.
Repérez les colonnes importantes :
- Nom : indique l'URL de la ressource demandée.
- Méthode : GET (récupération de données) ou POST (envoi de données)
- Statut : 200 (succÚs), 404 (page non trouvée), 500 (erreur serveur).
- Type : HTML, CSS, JavaScript, image, JSON, etc.
Pourquoi ? : En identifiant le type de requĂȘtes et les erreurs Ă©ventuelles, vous pouvez repĂ©rer des vulnĂ©rabilitĂ©s ou des fichiers sensibles mal protĂ©gĂ©s.
3ïžâŁ Identifiez le type de contenu reçu en retour
Triez les requĂȘtes par type (HTML, CSS, images, scripts...).
Cliquez sur une requĂȘte pour voir sa rĂ©ponse dĂ©taillĂ©e (ex. code source HTML retournĂ©).
Pourquoi ? : Cela permet de comprendre la structure du site et d'identifier des fichiers qui pourraient contenir des informations exploitables (ex. un fichier JavaScript révélant des API internes).
4ïžâŁ Trouvez des informations exploitables
Observez les en-tĂȘtes HTTP :
- Certains révÚlent des informations sur le serveur utilisé (ex. Apache, Nginx, PHP).
- Recherchez des identifiants de session ou des cookies non sécurisés.
Notez les fichiers JavaScript accessibles :
Certains contiennent des endpoints dâAPI ou des clĂ©s dâauthentification laissĂ©es visibles par erreur.
Pourquoi ? : Ces informations peuvent ĂȘtre utilisĂ©es pour comprendre la structure du site et identifier dâĂ©ventuelles failles de sĂ©curitĂ©.
đ RĂ©sultats attendus
- Liste des requĂȘtes HTTP avec leur statut (ex. 200, 404).
- Identification des types de fichiers récupérés depuis le serveur.
- Analyse des URL des fichiers potentiellement exploitables.
đĄ Conseil final : Notez vos observations et prĂ©parez-vous pour la mission suivante. Bonne chance, agents de ShadowHack !