Skip to content

README.md

Latest commit

 

History

History
69 lines (46 loc) · 1.63 KB

README.md

File metadata and controls

69 lines (46 loc) · 1.63 KB

RWaaS CTF - Atelier IDOR

Mini CTF pour sensibiliser les developpeurs aux vulnerabilites IDOR (Insecure Direct Object Reference).

Prerequis

  • Podman (ou Docker) pour le lancement en conteneur
  • uv pour le lancement en local
  • Python 3.14+

Lancement rapide

Avec podman compose

podman compose up --build

L'application est accessible sur http://localhost:8000

Changer le port

PORT=9000 podman compose up --build

L'application sera accessible sur http://localhost:9000

En local (developpement)

uv sync
uv run uvicorn app.main:app --reload

Pour changer le port :

uv run uvicorn app.main:app --reload --port 9000

Comment jouer

  1. Rendez-vous sur http://localhost:8000 pour les instructions
  2. Connectez-vous en tant que shadow_byte via POST /api/v1/auth/login
  3. Exploitez les vulnerabilites IDOR pour trouver les 8 flags caches dans les reponses de l'API

Exemple

# Se connecter et obtenir un token
TOKEN=$(curl -s -X POST http://localhost:8000/api/v1/auth/login \
  -H "Content-Type: application/json" \
  -d '{"username": "shadow_byte", "password": "shadow123"}' \
  | python3 -c "import sys,json; print(json.load(sys.stdin)['access_token'])")

# Lister ses campaigns
curl -s http://localhost:8000/api/v1/campaigns/mine \
  -H "Authorization: Bearer $TOKEN" | python3 -m json.tool

Documentation API

La documentation Swagger est disponible sur http://localhost:8000/docs

Fichiers utiles

  • HINTS.md : indices progressifs si vous etes bloques
  • SOLUTIONS.md : solutions completes (formateur uniquement)