🎯 Test red team — règles d'engagement
MySelf-Lab est une vitrine volontairement exposée à l'attaque. Inversion d'OWASP Juice Shop :
ici l'application est protégée par l'écosystème MySelf (SelfRecover, SelfDataGuard, SelfModerate)
et l'objectif est de prouver — ou de mettre en défaut — cette protection en conditions réelles.
Toute personne respectant les règles ci-dessous est autorisée à mener ses recherches.
📍 Périmètre
✅ Dans le périmètre
- L'application web MySelf-Lab (ce site) et tous ses chemins
- L'authentification SelfRecover (inscription, connexion, récupération)
- Les messages privés et profils chiffrés SelfDataGuard
- La réputation et le vote SelfModerate
- Le formulaire de soumission de rapport ci-dessous
⛔ Hors périmètre
- Toute autre infrastructure, domaine ou service que ce site
- L'hébergeur, le registrar, les fournisseurs tiers
- Les comptes ou données de personnes réelles
- Le poste, les comptes et la messagerie du mainteneur
Un périmètre étendu (autres composants MySelf) peut être convenu en privé avec une équipe retenue, sous accord écrit. Il n'est pas publié ici.
🏁 Objectifs (capture-the-flag)
Un compte de démonstration contient, dans son mémo personnel, un secret au format :
FLAG-… (chiffré de bout en bout côté client — AES-256-GCM, clé dérivée du secret de l'utilisateur, jamais présente sur le serveur)
Le nom du compte cible te sera communiqué à l'ouverture du test. Ni un dump de la base, ni un accès administrateur, ni la prise de contrôle du serveur ne révèlent ce secret — la clé n'existe que dans le navigateur du propriétaire. Le défi est de le ramener en clair.
Réfs MITRE ATT&CK / OWASP indiquées par objectif (les vulns web applicatives relèvent d'OWASP/CWE, hors périmètre ATT&CK).
- 🎯 Exfiltrer le mémo secret du compte cible et le restituer en clair objectif central
- 🔓 Contourner l'authentification SelfRecover (prendre la main sur un compte sans son mot de passe) ATT&CK T1110 · T1078 · OWASP A07
- 💬 Lire un DM échangé entre deux autres membres, en clair OWASP A01
- ⚖️ Manipuler la réputation SelfModerate (enterrer un membre par faux comptes coordonnés, ou s'auto-promouvoir) CAPEC-210
- 🪪 Usurper une session ou aboutir une attaque CSRF authentifiée ATT&CK T1539 · CWE-352
- 🧨 Escalade de privilèges : obtenir un accès administrateur (panel
/admin) ATT&CK T1078 · OWASP A01
✅ Autorisé
- Tests applicatifs web : injection (SQL, commande), XSS, IDOR, contournement d'auth, logique métier
- Analyse cryptographique des blobs SelfDataGuard
- Tentatives de dump de la base via une faille applicative
- Fuzzing raisonné des endpoints
- Interception / rejeu dans le périmètre
⛔ Interdit
- Déni de service, flood, stress volumétrique (DoS / DDoS)
- Ingénierie sociale visant des personnes réelles, le mainteneur, l'hébergeur
- Attaques physiques ou sur des locaux
- Pivot ou scan hors du périmètre déclaré
- Destruction, chiffrement (ransomware) ou altération définitive de données
- Exfiltration massive au-delà de la preuve ; spam ; contenu illégal
🧭 Conduite responsable
- Sur une faille critique : stopper l'exploitation, sécuriser une preuve minimale, signaler sans délai.
- Une preuve = un extrait minimal (une capture, un enregistrement déchiffré) — pas un dump complet.
- Divulgation coordonnée : pas de publication avant correction et accord mutuel. Délai de référence : 90 jours.
🛟 Safe harbor
Tant que tes recherches respectent ces règles, nous les considérons comme autorisées et menées de bonne foi.
Nous n'engagerons aucune action à ton encontre et nous ferons notre possible pour lever rapidement toute incertitude.
En cas de doute sur le périmètre ou une technique : demande avant d'agir via le formulaire ci-dessous.
🏆 Hall of fame
Aucune contribution validée pour l'instant. Sois la première personne à y figurer.