hacking-autodidacte est devenu hexlabs.pro !
🎥Vidéo : Résumé + Quelques liens pour approfondir...
Code vu dans la vidéo :
Prérequis : Installation de php sur votre machine (Linux/Windows/Mac)
Lancer un serveur PHP :
PHP -S ip:port
Petit code PHP :
<?php
session_start()
echo "hello world"
?>
Attributs vues dans la vidéo (Cookies) :
Secure : True/False → Le cookie ne doit être transmis qu’en HTTPS HttpOnly : True/False → Le cookie n’est pas accessible en javascript Max-Age : Combien de temps garder le cookie ? (en secondes) Expires : Quand le cookie expire ? (quelle date) Si à la fois Expires et Max-Age sont définis, Max-Age a la priorité.
La méthode TRACE :
Request :
TRACE / HTTP/1.1
Host: localhost
User-Agent: curl/7.88.1
Accept: */*
Response :
HTTP/1.1 200 OK
Date: Sun, 12 Nov 2023 04:53:52 GMT
Server: Apache/2.4.57 (Debian)
Transfer-Encoding: chunked
Content-Type: message/http
TRACE / HTTP/1.1
Host: localhost
User-Agent: curl/7.88.1
Accept: */*
Pour résumer, la méthode TRACE renvoie dans les données de la réponse exactement la requête envoyée (en couleur), utile dans certains cas pour du debuggage.
MAIS, elle est désactivée sur la plupart des serveurs et des navigateurs web...
Liens présent dans la vidéo :
Télécharger DB SQLITE browser : https://sqlitebrowser.org/
Liste des attributs des cookies : https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie
Liste des méthodes HTTP : https://developer.mozilla.org/en-US/docs/Web/HTTP/Methods
Pour approfondir
Session Fixation attack (plus rare de nos jours) : https://owasp.org/www-community/attacks/Session_fixation
Les JSON Web Token : https://jwt.io/introduction/
Les attaques CSRF : https://portswigger.net/web-security/csrf
L'attribut SameSite (cookies) : https://portswigger.net/web-security/csrf/bypassing-samesite-restrictions
Je ferai peut-être une suite à la vidéo :)