LeakTrainer - Plateforme d'Entraînement Cybersécurité

🎯 Objectif du Projet

LeakTrainer est une plateforme web conçue spécifiquement pour l'entraînement et le test d'outils de détection de fuites de données (leak detection). Ce site contient intentionnellement 350+ vulnérabilités réparties sur 11 pages et 7 formats de fichiers différents, simulant des erreurs couramment rencontrées dans le développement web.

📊 Statistiques Globales

350+

Leaks Totaux

11

Pages Web

7

Formats Fichiers

25+

Faux Positifs

🔍 Leaks à Découvrir - Guide Détaillé

🔐 Passwords 85+

Où les trouver :

Variables JavaScript dans index.html, dashboard.html, about.html
Commentaires HTML dans toutes les pages
Fichiers de configuration : .env, config.json, secrets.yaml
Fichiers backup : index.html.bak, config.html.old
Réponses API dans api-simulator.html

Types de passwords : Admins, Database, SSH, VPN, Redis, MongoDB, Emergency access

Exemples de patterns :

password: "SuperSecret123!"
DB_PASSWORD=Pr0d_DB_Adm1n_2024!

🔑 API Keys 55+

Où les trouver :

Balises <meta> dans api-simulator.html
Variables JavaScript dans toutes les pages
Fichiers de configuration multiples formats
Commentaires HTML et JS

Services exposés : AWS, Stripe, Google Maps, SendGrid, Firebase, Algolia, Cloudinary, GitHub

Formats reconnaissables :

AWS : AKIA[0-9A-Z]{16}
Stripe : sk_live_[0-9a-zA-Z]{24,}
Google : AIzaSy[0-9a-zA-Z-_]{33}
SendGrid : SG.[a-zA-Z0-9_-]{22}\.[a-zA-Z0-9_-]{43}

🎫 Tokens & JWT 35+

Où les trouver :

Réponses JSON dans api-simulator.html (endpoints /login, /debug)
Variables JavaScript (JWT_SECRET, tokens OAuth)
Headers simulés et meta tags
Fichiers .env* et config.*

Types de tokens :

JWT : Format eyJhbGciOi...
Slack : xoxb-[0-9]{10,13}-[0-9]{10,13}-[a-zA-Z0-9]{24}
Discord : MTIzNDU2Nzg5MDEyMzQ1Njc4OQ.XXXXXX.YYYYYY
GitHub : ghp_[a-zA-Z0-9]{36}

💳 IBAN & Cartes Bancaires 15+

Où les trouver :

Page contact.html : IBAN visibles dans le HTML et commentaires
Page dashboard.html : Tableau avec IBAN de 5 utilisateurs
Endpoint /api/v1/users/dump dans api-simulator.html
Variables JavaScript avec données bancaires

Formats :

IBAN France : FR76 [0-9]{23}
IBAN Allemagne : DE89 [0-9]{18}
IBAN UK : GB29 [A-Z]{4} [0-9]{14}
Cartes : [0-9]{4} [0-9]{4} [0-9]{4} [0-9]{4}

🗄️ Connection Strings 30+

Où les trouver :

Fichier config.json : Section database.connections
Fichier secrets.yaml : Sections database, mongodb, redis
Fichier application.properties : spring.datasource.url
Meta tags dans api-simulator.html
Réponses API : /config, /health, /debug endpoints

Formats :

PostgreSQL : postgresql://user:pass@host:5432/db
MongoDB : mongodb://user:pass@host:27017/db
MySQL : mysql://user:pass@host:3306/db
Redis : redis://host:6379 + password séparé

🔐 SSH Keys 5+

Où les trouver :

Page admin-secret.html : Section "SSH Private Keys"
Variables JavaScript avec clés tronquées
Fichiers YAML et Properties avec clés privées

Format :

-----BEGIN RSA PRIVATE KEY-----
MIIEpAIBAAKCAQEA...
-----END RSA PRIVATE KEY-----

📁 Fichiers et Pages à Scanner

Pages HTML Publiques 4 pages

index.html - Page d'accueil avec 15+ leaks (JavaScript, commentaires)
about.html - À propos avec infos équipe et infrastructure (20+ leaks)
contact.html - Contact avec IBAN et tokens (10+ leaks)
dashboard.html - Dashboard avec credentials système (30+ leaks)

Pages HTML Cachées 3 pages

⚠️ Non référencées dans la navigation - À découvrir par scraping :

admin-secret.html - Panel admin avec super credentials (40+ leaks)
config-backup.html - Backup de configuration système (50+ leaks)
api-docs-internal.html - Documentation API interne (25+ leaks)

Pages Spéciales 2 pages

api-simulator.html - Simulation API avec 7 endpoints + meta tags (40+ leaks)
false-positives-test.html - Tests de précision (10 vrais + 25 faux positifs)

Fichiers Backup 2 fichiers

⚠️ Fichiers oubliés sur le serveur :

index.html.bak - Ancien backup octobre 2024 (10+ leaks historiques)
config.html.old - Configuration avant migration (15+ leaks dépréciés)

Fichiers de Configuration 6 formats

Fichier	Format	Leaks	Criticité
`.env`	ENV	60+	🔴 Critique
`.env.production`	ENV	60+	🔴 Critique
`.env.local`	ENV	15+	🟢 Faible
`config.json`	JSON	40+	🔴 Critique
`secrets.yaml`	YAML	50+	🔴 Critique
`application.properties`	Properties	45+	🟡 Haute
`config.ini`	INI	55+	🟡 Haute

🎯 Techniques de Détection

1. Scraping HTML

Parser toutes les balises HTML
Extraire les commentaires 
Analyser les balises <script>
Récupérer les meta tags <meta name="..." content="...">
Extraire les attributs data-*
Suivre les liens cachés (opacity: 0.01)

2. Parsing de Fichiers Multi-Format

JSON : Parser structure imbriquée et récursive
YAML : Gérer l'indentation et les sections
Properties : Format clé=valeur avec commentaires #
INI : Sections [name] et commentaires ;
ENV : Variables UPPER_CASE=value

3. Détection de Patterns

Passwords : Minimum 8 caractères, majuscules, chiffres, spéciaux
API Keys : Préfixes reconnaissables (AKIA, sk_live_, AIzaSy, SG.)
JWT : Format eyJ[base64].[base64].[base64]
IBAN : 2 lettres pays + 2 chiffres + alphanumériques
Connection Strings : Protocole://user:pass@host:port/db

4. Filtrage des Faux Positifs

Ignorer préfixes TEST_, DEMO_, EXAMPLE_
Ignorer placeholders (YOUR_PASSWORD_HERE, XXXXX)
Ignorer domaines exemple (example.com, localhost)
Ignorer code commenté (// ou /* */)
Vérifier le contexte et la criticité

🚀 Navigation

Pages visibles du site :

🏠 Accueil 📖 À propos 📧 Contact 📊 Dashboard 🔧 API Simulator 🎯 Tests Précision admin config api env

🛡️ LeakTrainer

🎯 Objectif du Projet

📊 Statistiques Globales

350+

11

7

25+

🔍 Leaks à Découvrir - Guide Détaillé

🔐 Passwords 85+

🔑 API Keys 55+

🎫 Tokens & JWT 35+

💳 IBAN & Cartes Bancaires 15+

🗄️ Connection Strings 30+

🔐 SSH Keys 5+

📁 Fichiers et Pages à Scanner

Pages HTML Publiques 4 pages

Pages HTML Cachées 3 pages

Pages Spéciales 2 pages

Fichiers Backup 2 fichiers

Fichiers de Configuration 6 formats

🎯 Techniques de Détection

1. Scraping HTML

2. Parsing de Fichiers Multi-Format

3. Détection de Patterns

4. Filtrage des Faux Positifs

🚀 Navigation