Exploitation Web CTF

Score de confiance 82/100

Playbook complet d'exploitation web pour les CTF : XSS, SQLi, SSTI, SSRF, XXE, abus de JWT, contournement d'authentification, chaînes de téléchargement de fichiers et reconnaissance web.

déclencheurs:web exploitationssrfsstijwtsql injectionfile uploadauth bypassprototype pollution

GitHub SKILL.md

Ce qu'il fait

Cette compétence fournit un playbook structuré et pratique pour les défis CTF axés sur le web. Elle guide l'opérateur à travers la reconnaissance, la cartographie de la surface d'attaque, les familles de vulnérabilités courantes (XSS, SQLi, SSTI, SSRF, XXE, failles d'authentification) et les techniques de chaînage pour transformer un petit primitif en un chemin d'exploitation complet. La SKILL regroupe des commandes de démarrage rapide, des heuristiques de priorisation et des liens vers des notes approfondies pour les vecteurs côté serveur, côté client et liés à l'authentification.

Quand l'utiliser

Invoquez-le lorsque le défi est centré sur une application HTTP, une API ou une surface de navigateur — particulièrement lorsque des modèles (templates), des jetons, des flux d'identité ou des fonctionnalités de téléchargement/analyse sont impliqués. Évitez pour le pwn natif ou la crypto profonde, sauf si l'interface web reste le vecteur d'attaque principal.

Ce qui est inclus

Scripts : aucun intégré mais recommande des outils (sqlmap, ffuf, flask-unsign) et des extraits de commandes.
Références : documents d'accompagnement extensifs couvrant SQLi, SSRF, désérialisation, JWT/OAuth, pollution de prototype et notes de terrain.
Instructions : flux de travail de première passe, checklist de reconnaissance, vérifications à haute valeur et modèles de chaînes d'exploitation pour convertir la reconnaissance en fuites de données ou en exécution de code.

Agents compatibles

Destiné aux agents disposant d'outils shell et HTTP (ffuf, curl, Python). Fonctionne mieux avec Claude Code ou d'autres agents pouvant exécuter des outils locaux pour des tests actifs.

Étiquettes

#ctf #web #xss #ssrf #sql-injection #ssti #jwt #forensics #recon

Aucun script exécutéAudité le May 9, 2026

Résumé de l'audit

La compétence CTF Web Exploitation est un playbook de référence bien structuré pour les challenges CTF web couvrant XSS, SQLi, SSTI, SSRF, l'abus de JWT, et plus encore. Elle ne contient pas de scripts exécutables — c'est purement une compétence de connaissance/référence. Le fichier SKILL.md est complet avec un frontmatter clair, une divulgation progressive efficace via des fichiers de référence liés et des commandes de démarrage rapide pratiques. La sécurité est saine : pas d'identifiants codés en dur, pas de commandes destructrices, pas d'instructions d'exfiltration — c'est une ressource éducative de sécurité offensive. L'architecture suit bien la spécification des compétences avec un SKILL.md concis et des références/ bien organisées. L'utilité est modérée : les CTF s'adressent à un public de niche et peu d'agents rencontreront des tâches d'exploitation web dans des flux de travail normaux.

Points d'attention

Compétence purement de référence/connaissance — pas de scripts à exécuter ou à valider
Nécessite l'installation de sqlmap, flask-unsign, ffuf, hashcat pour une utilité complète
Audience de niche : utile uniquement lors de compétitions CTF ou de formations en sécurité

Notes

Compétence éducative bien organisée pour l'exploitation web CTF. Aucune préoccupation de sécurité — pas de secrets codés en dur, pas de commandes destructrices, pas d'exfiltration de données. La compétence instruit les agents d'utiliser des outils de test de sécurité (sqlmap, ffuf, etc.) contre des cibles CTF, ce qui est approprié pour l'objectif énoncé. Frontmatter propre, bonne structure de référence avec plus de 18 sous-fichiers liés. Déductions : qualité légèrement inférieure car c'est du contenu purement de référence sans validation exécutable ; utilité limitée par l'audience de niche des CTF.

Informations

Dépôt: CTF Skills Collection
Étoiles: 1,622
Installations: 0

Score de confiance

Global82

Sécurité85

Qualité du code72

Architecture88

Utilité45

Plus de CTF Skills Collection

Générateur de Write-up CTF

Générez un write-up de CTF concis et reproductible, avec un script de solution unique, des métadonnées et une courte checklist pour une vérification rapide.

Cryptographie CTF

Référence des techniques d'attaque cryptographique et des outils pour les défis CTF (RSA, AES, ECC, réseaux euclidiens, PRNG, oracles de remplissage et plus encore).

Compétences similaires

Reverse Engineer

Provides step-by-step guidance and best practices for binary reverse engineering: static analysis, dynamic tracing, disassembly, and documentation workflows for

FastAPI Project Templates

Creates production-ready FastAPI project scaffolds with async patterns, DI, middleware, and testing best practices for high-performance APIs.

CTF Write-up Generator

Generate a concise, reproducible submission-style CTF writeup with a one-path solution script, metadata, and a short checklist for fast verification.

Dune Analytics (MoonPay Integration)

Run Dune SQL and saved queries via the Dune REST API for on-chain analytics; pairs with MoonPay CLI to create/fund wallets for analysis.

IGF (Grapefruit) CLI

CLI skill to control the IGF (Grapefruit) dynamic instrumentation server for mobile security testing: enumerate Frida devices, inspect apps, run hooks, access f

Code Audit

Perform professional code security audits across 9 languages with configurable quick/standard/deep modes and Docker-backed verification.

Security Research Meta-Methodology

A structured vulnerability research framework distilled from 5600+ security docs, covering web injection, deserialization, binary exploitation, domain pentest,

rsbkb (Rust BlackBag)

Collection of fast CLI applets for binary data manipulation, encoding/decoding, checksums, compression, and reverse-engineering workflows.

Retour aux compétences