🌐 HTTP Request Builder
Envoyez manuellement des requêtes HTTP comme le ferait votre navigateur, mais avec un contrôle total. GET = demander une page. POST = envoyer des données (formulaire). PUT/DELETE = modifier/supprimer (APIs). Vous pouvez ajouter des en-têtes personnalisés (cookies, User-Agent...) et voir exactement ce que le serveur répond. Essentiel pour tester des APIs ou reproduire des requêtes Burp.
🔑 JWT Debugger
Un JWT (JSON Web Token) est un "ticket d'identité" utilisé par les sites pour vous reconnaître sans redemander votre mot de passe. Il contient 3 parties séparées par des points : Header (algorithme), Payload (vos infos : id, rôle...), Signature (vérification). Cet outil décode le JWT pour voir ce qu'il contient. Astuce : essayez le bouton "Alg None" pour tester si le site vérifie vraiment la signature !
Header
Payload
🍪 Cookie Decoder
Les cookies sont des petits fichiers que les sites stockent dans votre navigateur pour vous reconnaître. Ils sont souvent encodés (Base64, URL encoding, Hex) pour cacher leur contenu. Cet outil décode automatiquement le cookie pour révéler ce qu'il contient vraiment : votre ID utilisateur, rôle (admin?), session, préférences... Parfois on y trouve des infos sensibles en clair !
🔄 Web Encoders / Decoders
Convertissez du texte dans différents formats utilisés sur le web. URL : transforme les espaces et caractères spéciaux (%20, %3D...) pour les URLs. HTML : convertit < en < pour éviter l'exécution de code. Base64 : encode en lettres/chiffres (utilisé pour les images, données binaires, obfuscation). Indispensable pour comprendre ou créer des payloads.
💉 SQLi Payloads
L'injection SQL exploite les formulaires mal protégés pour "parler directement" à la base de données. Auth Bypass : ' OR 1=1 -- pour se connecter sans mot de passe. Union : récupère des données d'autres tables. Error : provoque des erreurs révélatrices. Blind : extrait des données caractère par caractère quand rien ne s'affiche. Cliquez pour copier un payload.
💥 XSS Payload Generator
Le XSS (Cross-Site Scripting) permet d'exécuter du JavaScript dans le
navigateur des autres visiteurs. Exemple : voler leurs cookies de session. Ce générateur propose
des payloads qui contournent les filtres courants : <script> bloqué ? Essayez
<img onerror=...> ou <svg onload=...>. Entrez ce qui est
bloqué pour obtenir des alternatives.
📂 LFI / Path Traversal
LFI (Local File Inclusion) permet de lire des fichiers du serveur qui ne
devraient pas être accessibles. Le principe : remonter les dossiers avec ../ pour
atteindre /etc/passwd (Linux) ou C:\Windows\... (Windows). Profondeur = nombre
de "../". Null byte (%00) = arrête la lecture après le fichier. PHP
Wrapper = php://filter pour lire le code source en Base64.
🤖 Robots.txt Viewer
Le fichier robots.txt dit aux moteurs de recherche quelles pages NE PAS indexer. Ironiquement, c'est donc une liste des pages "secrètes" que l'admin veut cacher ! On y trouve souvent : panneaux d'administration (/admin/), backups, fichiers sensibles, environnements de développement. C'est la PREMIÈRE chose à vérifier sur un site.
📋 Security Headers
Les en-têtes de sécurité sont des protections que le serveur active (ou pas). HSTS : force HTTPS. CSP : bloque le XSS. X-Frame-Options : empêche l'intégration dans une iframe (clickjacking). X-XSS-Protection : filtre anti-XSS du navigateur. Cet outil vérifie lesquels sont présents et signale les absents. Un site sans ces headers est plus vulnérable.
💻 Command Injection
Quand un site exécute des commandes système (ping, whois...) avec vos données, vous pouvez parfois "enchaîner" avec vos propres commandes. Connecteurs : ; | && || pour ajouter une commande après. Linux : id, cat /etc/passwd... Windows : whoami, dir... Out of Band : pour les cas où rien ne s'affiche (ping vers votre serveur).
📝 Server-Side Template Injection
Les moteurs de templates (Jinja2, Twig...) génèrent des pages dynamiques. Si vos données sont injectées dans le template, vous pouvez exécuter du code CÔTÉ SERVEUR. Test de détection : {{7*7}} - si "49" s'affiche, c'est vulnérable ! Chaque moteur a sa syntaxe : Jinja2 (Python/Flask), Twig (PHP/Symfony), Smarty (PHP). Les payloads permettent d'exécuter des commandes.
🔍 Subdomain Enumeration
Les sous-domaines d'un site (mail.example.com, dev.example.com...) sont souvent oubliés et moins protégés. Cet outil utilise crt.sh (base de données des certificats SSL) pour trouver tous les sous-domaines publiquement connus. Pas de scan actif = 100% légal. On y trouve souvent : environnements de test, anciennes versions, panels d'admin, APIs internes.
📂 Git Exposed Check
Le dossier .git contient TOUT l'historique du code source d'un site. Si accessible publiquement (/.git/config répond), on peut télécharger le code complet, voir les anciens mots de passe dans l'historique, les fichiers supprimés, les messages de commits... Erreur EXTRÊMEMENT courante sur les sites en production. Cet outil vérifie si /.git/ est accessible.
💻 Reverse Shell Generator
Après avoir trouvé une vulnérabilité d'exécution de code (RCE), vous voulez un
accès interactif au serveur. Le "reverse shell" fait que LE SERVEUR se connecte À VOUS
(contourne les pare-feux). Étape 1 : lancez nc -lvnp 4444 sur
votre PC pour écouter. Étape 2 : exécutez le payload sur la cible. Choisissez
le langage installé sur le serveur (PHP, Python, Bash...).
🛡️ CSP Evaluator
La Content-Security-Policy (CSP) est une protection contre le XSS qui dit au navigateur quels scripts sont autorisés. Exemple : "charger uniquement les scripts de mon-site.com". Mais une CSP mal configurée peut être contournée ! Cet outil analyse la politique pour trouver des failles : 'unsafe-inline', domaines trop permissifs, absence de directives critiques...
📁 File Upload Bypass Generator
Les sites filtrent souvent les fichiers uploadés par extension (.php bloqué). Cet outil génère des alternatives pour contourner ces filtres : double extension (shell.php.jpg), null byte (shell.php%00.jpg), extensions alternatives (.phtml, .php5, .phar), casse (.PHP, .pHp). Entrez l'extension cible et obtenez une liste de variantes à tester.
