June 23, 2026
Write-up Hacker DNA
Secrets in Source : voir le code source pour trouver le flag
By Cp Kakaping
1 min read
Secrets in Source : voir le code source pour trouver le flag
Énoncé
Apprenez à voir le code source et à découvrir les secrets que les développeurs cachent à la vue de tous : un chemin de fichier divulgué dans un commentaire HTML qui vous livre le flag.
Une introduction pour débutants à l'information disclosure et au broken access control.
Lien du lab : https://hackerdna.com/labs/secrets-in-source
Prérequis : Aucun
Résolution
Dans ce challenge, l'objectif est simple : comprendre que le navigateur reçoit tout le contenu HTML envoyé par le serveur, même les éléments qui ne sont pas affichés à l'utilisateur.
Accès au code source
Pour résoudre ce challenge, il faut afficher le code source de la page.
Deux méthodes possibles :
Méthode 1 : raccourci clavier
CTRL + UCTRL + UMéthode 2 : via le navigateur
Ajouter le préfixe :
view-source:view-source:Analyse du code source
Une fois le code source affiché, on utilise la recherche :
CTRL + FCTRL + FPuis on cherche :
flagflagDécouverte du flag
Dans le code HTML, on trouve un commentaire contenant une information sensible :
<!-- Dev note: backup completed -->
<!-- Flag location: "chemin_du_flag/flag.txt" --><!-- Dev note: backup completed -->
<!-- Flag location: "chemin_du_flag/flag.txt" -->👉 Ce commentaire révèle directement l'emplacement du flag.
Récupération du flag
Il suffit alors de :
- accéder au chemin indiqué
- ou copier directement le flag s'il est affiché dans la page source
- puis le soumettre dans le challenge
Conclusion
Ce challenge met en évidence une erreur classique en sécurité web :
- laisser des informations sensibles dans le code source HTML
- penser que les commentaires sont invisibles pour l'utilisateur
En cybersécurité :
Tout ce qui est envoyé au client (HTML, JS, CSS) doit être considéré comme accessible et lisible par l'utilisateur.