Tâches
Tout hacking web commence par comprendre HTTP. Chaque requête et réponse est une opportunité.
POST /login HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Content-Type: application/x-www-form-urlencoded
Cookie: session=abc123
username=admin&password=secretHTTP/1.1 200 OK
Server: Apache/2.4.41
Set-Cookie: session=xyz789; HttpOnly; Secure
Content-Type: text/html
<html>Bienvenue admin</html>| Méthode | Usage | Risque |
|---|---|---|
| GET | Lire des données | Paramètres dans l'URL (logs !) |
| POST | Envoyer des données | Corps de requête |
| PUT | Créer/modifier | Upload de fichiers |
| DELETE | Supprimer | Accès non autorisé |
| OPTIONS | Lister les méthodes | Information disclosure |
200 OK → Succès
301/302 → Redirection (suivre !)
401 Unauthorized → Authentification requise
403 Forbidden → Accès refusé (mais la ressource existe !)
404 Not Found → Ressource absente
500 Server Error → Potentiellement exploitableNote : un 403 signifie que la ressource existe — essayez des bypasses (méthodes HTTP alternatives, path traversal...).
Q1 Qu'indique un code HTTP 403 ?
Q2 Quelle méthode HTTP est utilisée pour envoyer des données de formulaire ?
Q3 Quel header HTTP contient les cookies de session ?