Un développeur a oublié de nettoyer le code avant la mise en production. Inspectez ce code HTML :
<!DOCTYPE html>
<html>
<head>
<title>Connexion — MonApp</title>
<!-- TODO: supprimer avant prod — kewin -->
<!-- FLAG DE TEST: CSA{s0urc3_1s_k1ng} -->
<!-- admin_pass: P@ssw0rd123! -->
<link rel="stylesheet" href="/app.css">
</head>
<body>
<form action="/login" method="POST">
<input type="text" name="username" placeholder="Utilisateur" />
<input type="password" name="password" placeholder="Mot de passe" />
<button type="submit">Se connecter</button>
</form>
<!-- <script>var debug_token = "eyJhbG...";</script> -->
</body>
</html>Trouvez le flag dans ce code source.
Leçon de sécurité
Le code source HTML est public. Tout visiteur peut l'afficher avec Ctrl+U ou les DevTools. Ne jamais laisser de mots de passe, tokens ou flags dans les commentaires HTML !
Connectez-vous pour sauvegarder votre score.