Le serveur Mutillidae propose un site Web conçu pour identifier et tester les failles de sécurité identifiées par l’OWASP. Il est possible pour chacune d’entre elles, de définir le niveau de sécurité appliqué. Dans cette activité, la machine attaquante est une kali. Dans cette activité, BurpSuite n’est pas utilisé.

Notre démarche consistera, pour les défis présentés :

1. à partir de la version non sécurisée de la page concernée et à mettre en évidence la faille de sécurité ;
2. nous constaterons ensuite que dans la version sécurisée de cette page fournie par Mutillidae, l’attaque n’est plus possible ;
3. l’étude des mécanismes de sécurisation utilisés, donc du code de la page associée, permettra de dégager des bonnes pratiques de programmation.

Le premier défi est une injection locale et le second défi est une injection distante.