Règles du jeu


Félicitations pour votre participation au HackChallenge de la Formation Sécurité WordPress de LearnWPSecurity.

Gardez en tête que ceci est un jeu, c'est donc fait pour s'amuser, se dépasser, se challenger. Si vous bloquez sur un challenge, changez ou faites une pause.

Les challenges ne sont pas des leçons de « piratage », tout comme un serrurier n’est pas un cambrioleur, chacun est libre de faire ce qu’il veut de ses connaissances.

Dans tout jeu, il y a des règles que je vous demande de suivre. Elles sont peu nombreuses et simples à la fois. Certaines règles sont déjà présentes dans les CGU, j'en fais un rappel ici.

  1. Aucun challenge n'est à réaliser sur https://learnwpsecurity.com mais uniquement sur https://lwps-hack.me,
  2. Aucun système de brute-force n’est requis pour réaliser les challenges,
  3. Aucun DDoS (Déni de Service) n’est autorisé sur les sites,
  4. Aucune ingénierie sociale n’est nécessaire,
  5. Aucun vol de données n’est réel,
  6. Les challenges ne sont pas triés ni rangés par ordre de difficulté, c'est un ordre totalement arbitraire, je décide de façon aléatoire du numéro du challenge. D'autant plus que mettre une difficulté sur des épreuves est trop subjectif, je préfère ne rien mettre.
  7. Les challenges ne requièrent pas d’être de métier développeur Web pour être réussis,
  8. Chaque HackChallenge se comporte comme si elle était un site Web à part entière et vous devez vous comportez comme si ça l’était vraiment. Vous serez en réalité sur un sous-domaine du site.
  9. Votre compte membre sur le HackChallenge est le même que sur LWPS, ce sont les mêmes données, la base de données de LWPS est partagée avec le HackChallenge.
  10. La connexion requise sur le HackChallenge n’est là que pour vous identifier sur LWPS afin de vous permettre de valider les challenges.
  11. On peut vous demander de vous connecter, il ne faut alors PAS vous déconnecter de votre compte LWPS, mais au contraire, réaliser cette autre connexion à un faux compte. Dans la plupart des cas, la réussite de la connexion est fausse et vous redirige en réalité sur une page vous donnant votre mot de passe pour valider le challenge.
  12. Il serait dommage de partager vos réponses avec d’autres apprenants. Chaque réponse (mot de passe/hash) est unique et lié à son apprenant. Le but n’est pas de chercher à tout savoir, mais plutôt savoir tout chercher. On apprend mieux quand on a cherché et trouvé soi-même.

Quelques autres règles sur le fonctionnement et type de challenges

  1. Chaque challenge est une demande de Régis, un personnage fictif qui est votre allié et a besoin de vous pour aller plus loin, corriger ses erreurs, combler les lacunes de ses connaissances.
  2. Régis vous connait et vous appelle par votre pseudo, celui que vous avez choisi dans votre profil.
  3. Chaque challenge a une page dédiée qui explique ce que Régis attends de vous. Il n'y a pas de piège dans les énoncés, ni d'indice particulier.
  4. Vous êtes comme en situation réelle, un site web est devant vous, vous cherchez quelque chose, un fichier, un accès, un code, ….
  5. Dans chaque page de challenge se trouve le lien vers le challenge en lui même sous la forme chxxx.lwps-hack.me, où chxxx est l'identifiant du challenge.
  6. Dans cette même page se trouve un formulaire d'attente de clé de vérification, cette clé est justement ce que vous devez trouver pour valider votre challenge, elle représente votre aptitude au hack.
  7. Comme indiqué précédemment, il est inutile de tenter des clés aléatoires, chaque challenge a sa propre clé par utilisateur.
  8. Une fois dans un challenge, cherchez les informations demandées par des moyens détournés. Ces moyens vous sont enseignés dans les Formations Sécurité WordPress de LWPS.
  9. Comme en conditions réelles, vous n'êtes pas informés si vous êtes sur la bonne voie ou pas, il n'y a que la clé de validation qui vous indique si vous avez trouvé ou pas.
  10. Inversement, il n'y a pas de pièges tendus ou de fausses routes pour vous faire perdre du temps.
  11. Il existe différents type de challenges :
    1. Une page : Ces challenges ne sont qu'une simple page, comme un site vitrine de 1 page.
    2. Une page avec menu : Même chose que pour 1 page mais elle a un menu qui pointe vers d'autres pages, comme un site vitrine un peu plus complet.
    3. Des étapes : Certains challenges ont des étapes, parfois bien visibles, parfois moins, il faut faire un hack pour accéder aux suivantes.
    4. Secrets : Quelques challenges ne sont pas listés dans la page des challenges. Cela signifie que lors de vos précédents hack dans les challenges, vous pourriez trouver plus que ce qu'attends Régis, un double hack dans le hack. Au moment de cette découverte, vous serez informé que vous avez trouvé un challenge secret, aucune clé n'est requise.
  12. Vous pouvez acheter des indices pour le prix en points indiqué sur la page, il n'est pas garanti que cet indice vous sera utile, peut-être cette information était déjà en votre connaissance.
  13. Quand vous faites une tentative de clé de validation, un compteur de tentatives s'incrémente, nous gardons en base de données vos entrées et leur date.
  14. Si vous avez faux, un message vous l'indiquera. Réessayez !
  15. Si vous avez bon, un message vous l'indiquera aussi, vous gagnerez alors 100 points et le badge de ce challenge, visible dans votre profil public.
  16. La page du classement est triée par points. Ainsi, une personne qui a réussi des challenges grâce aux indices sera moins bien classée qu'une personne qui les réussi sans.
    1. Exemple avec une personne qui a réussi 4 challenges, elle a donc 400 pts. Une autre a réussi 15 challenges avec 1 indice chacun, elle a donc 375 points. Une autre a 17 challenges avec 1 indice chacun, elle a donc 425 points.
    2. Cela démontre que l'utilisation des indices peut être un avantage ou un inconvénient.
    3. Si vous n'avez réussi que 4 challenges et que vous êtes bloqué, alors n'hésitez pas à acheter des indices !

Bon jeu à toutes et à tous !