Kim-San04/AppSec-Pentest-Lab-Black_Box

GitHub: Kim-San04/AppSec-Pentest-Lab-Black_Box

Stars: 1 | Forks: 0

![Header](https://capsule-render.vercel.app/api?type=waving&color=0:0d1117,100:00f2ff&height=120§ion=header&text=&fontSize=0)

# ⚔️ AppSec & Pentest — Black Box Testing

![Kali Linux](https://img.shields.io/badge/Kali_Linux-557C94?style=for-the-badge&logo=kalilinux&logoColor=white) ![OWASP](https://img.shields.io/badge/OWASP_Top_10-000000?style=for-the-badge&logo=owasp&logoColor=white) ![Burp Suite](https://img.shields.io/badge/Burp_Suite-FF6633?style=for-the-badge&logo=burpsuite&logoColor=white) ![Metasploit](https://img.shields.io/badge/Metasploit-2596CD?style=for-the-badge&logo=metasploit&logoColor=white) ![PHP](https://img.shields.io/badge/PHP-777BB4?style=for-the-badge&logo=php&logoColor=white) ![Efrei](https://img.shields.io/badge/Efrei_Bordeaux-Mastère_Cybersécurité-purple?style=flat-square) ![Type](https://img.shields.io/badge/Type-Black_Box_Pentest-red?style=flat-square) ![Status](https://img.shields.io/badge/Status-Terminé-success?style=flat-square)

## 📖 Synopsis du Projet Ce dossier regroupe trois missions de sécurité applicative réalisées en équipe, couvrant l'analyse de vulnérabilités, le pentest en boîte noire et la mise en haute disponibilité d'une infrastructure web. ## ⚡ Mission 1 — XSS & Hardening du Code **Objectif :** Identifier et exploiter des failles XSS (Cross-Site Scripting) sur une application web PHP, puis procéder au hardening du code. **Vulnérabilités exploitées :** - XSS réfléchi sur le formulaire de recherche - XSS stocké via le formulaire de commentaires - Contournement de la validation côté client **Corrections appliquées :** - Encodage systématique des sorties avec `htmlspecialchars()` - Validation et filtrage des entrées côté serveur - Mise en place d'une Content Security Policy (CSP) ## 🏗️ Mission 2 — Haute Disponibilité & Load Balancing **Objectif :** Déployer une architecture haute disponibilité pour l'application web avec répartition de charge. **Architecture déployée :** - HAProxy comme load balancer en frontal - 2 serveurs Apache en backend (round-robin) - Surveillance de santé (health checks) automatisée - Basculement automatique en cas de panne ## 🕵️ Mission 3 — Black Box Pentest "Hulk-Buster" **Objectif :** Réaliser un pentest complet en mode boîte noire sur une application inconnue — sans accès au code source ni à la documentation. **Méthodologie (OWASP Testing Guide) :** | Phase | Actions | Outils | | :--- | :--- | :--- | | Reconnaissance | Enumération, fingerprinting | Nmap, WhatWeb | | Scanning | Détection de vulnérabilités | Nikto, OWASP ZAP | | Exploitation | Exploitation des failles | Burp Suite, SQLMap | | Post-exploitation | Élévation de privilèges | Metasploit | **Failles critiques identifiées :** - Injection SQL sur le formulaire de connexion - Répertoires sensibles exposés (`/admin`, `/backup`) - Mots de passe par défaut sur l'interface d'administration - Élévation de privilèges via une permission `sudo` mal configurée ## 🛠️ Stack Technique - **Offensif :** Kali Linux, Nmap, WPScan, Hydra, NetDiscover, OWASP Xenotix - **Défensif/Infra :** HAProxy, Apache2, WampServer - **Langages & Outils :** PHP, MySQL, Git, GNU Nano

[![Portfolio](https://img.shields.io/badge/Portfolio-00f2ff?style=for-the-badge&logo=firefox&logoColor=black)](https://kim-san04.github.io) [![LinkedIn](https://img.shields.io/badge/LinkedIn-0077B5?style=for-the-badge&logo=linkedin&logoColor=white)](https://linkedin.com/in/hakim-sawadogo) [![GitHub](https://img.shields.io/badge/GitHub-181717?style=for-the-badge&logo=github&logoColor=white)](https://github.com/Kim-San04) ![Footer](https://capsule-render.vercel.app/api?type=waving&color=0:00f2ff,100:0d1117&height=80§ion=footer)