| Lab | Description | Vulnérabilités | Niveau | |
|---|---|---|---|---|
|
|
Reproduction du filtrage de la page poppart-public : un WAF serveur (PHP) bloque 8 caractères (NUL [ \ ] ^ ` { }) et un sanitizer côté client échappe & < > " ' /. Objectif : trouver une XSS qui passe les deux filtres. |
Medium | Ouvrir → | |
|
|
Reproduction du flux de connexion OAuth de l'IdP : une tentative de login échoue et recharge la page avec error_description dans l'URL. Ce paramètre est réinséré tel quel dans le message d'erreur → XSS reflétée en deux temps (soumission → erreur affichée). |
Easy | Ouvrir → |