RWaaS CTF - Atelier IDOR

Mini CTF pour sensibiliser les developpeurs aux vulnerabilites IDOR (Insecure Direct Object Reference).

Prerequis

• Podman (ou Docker) pour le lancement en conteneur
• uv pour le lancement en local
• Python 3.14+

Lancement rapide

Avec podman compose

podman compose up --build

L'application est accessible sur http://localhost:8000

Changer le port

PORT=9000 podman compose up --build

L'application sera accessible sur http://localhost:9000

En local (developpement)

uv sync
uv run uvicorn app.main:app --reload

Pour changer le port :

uv run uvicorn app.main:app --reload --port 9000

Comment jouer

1. Rendez-vous sur http://localhost:8000 pour les instructions
2. Connectez-vous en tant que shadow_byte via POST /api/v1/auth/login
3. Exploitez les vulnerabilites IDOR pour trouver les 8 flags caches dans les reponses de l'API

Exemple

# Se connecter et obtenir un token
TOKEN=$(curl -s -X POST http://localhost:8000/api/v1/auth/login \
  -H "Content-Type: application/json" \
  -d '{"username": "shadow_byte", "password": "shadow123"}' \
  | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")

# Lister ses campaigns
curl -s http://localhost:8000/api/v1/campaigns/mine \
  -H "Authorization: Bearer $TOKEN" | python3 -m json.tool

Documentation API

La documentation Swagger est disponible sur http://localhost:8000/docs

Fichiers utiles

• HINTS.md : indices progressifs si vous etes bloques
• SOLUTIONS.md : solutions completes (formateur uniquement)