Hello world · Reverse proxy lab

Ce mini site permet de valider le comportement d'un reverse proxy (nginx) devant une application PHP/Apache. Chaque parcours couvre les points classiques : sessions PHP, cookies personnalisés, transferts de fichiers, rewrite et gestion de déconnexion.

Parcours de test

Sécurité & En-têtes

  1. Headers & Cache ouvrir
    Inspecter les en-têtes de sécurité, cache, ETag/Last-Modified et protocole HTTP.
  2. CORS Lab ouvrir
    Valider les en-têtes Access-Control-* et la gestion des pré-vols.
  3. Basic Auth ouvrir
    Tester le passage des en-têtes Authorization à travers le proxy.

Sessions & Interactions

  1. Session PHP ouvrir
    Se connecter et vérifier la persistance de session via plusieurs pages.
  2. Session Cookie ouvrir
    Manipuler le cookie d'authentification personnalisé et observer les réactions serveur.
  3. Upload & Download ouvrir
    Uploader un fichier, le retélécharger et vérifier l’intégrité à travers le proxy.
  4. Déconnexion ouvrir
    Purger session et cookie de test puis vérifier l’accès direct.

Réseau & Proxy

  1. Check HTTPS ouvrir
    Contrôler la terminaison TLS et les en-têtes X-Forwarded-*.
  2. Trace IP ouvrir
    Comparer REMOTE_ADDR, X-Forwarded-For et X-Real-IP.
  3. Compression ouvrir
    Vérifier la compression gzip/brotli et la cohérence Content-Encoding / Content-Length.
  4. Proxy Only ouvrir
    Accéder à la zone restreinte uniquement via le reverse proxy autorisé.

Routage & Intégrité

  1. Rewrite Lab ouvrir
    Tester les règles .htaccess et vérifier la capture des slugs.
  2. Liens absolus ouvrir
    Valider la réécriture des URLs absolues et des assets par le proxy.
  3. Redirections ouvrir
    Contrôler les codes 301/302/307/308 et la cible Location.
  4. Robustesse & Fuzz ouvrir
    Envoyer des chemins encodés ou suspects pour détecter les altérations.

Identifiants de test

Login
devops
Mot de passe
proxy123

Utilisez toujours ces identifiants pour les parcours session et cookie. Les pages dédiées fournissent les formulaires nécessaires.

États rapides

Session PHP
Inactive
off
Ouvrir le parcours session
Session cookie
Cookie absent
absent
Ouvrir le parcours cookie
HTTPS
HTTPS détecté (XFP=https)
https
Diagnostiquer HTTPS
Trace IP
Client: 216.73.216.102 · Proxy: 51.75.251.128 · Chaîne XFF (1)
proxifié
Inspecter les en-têtes IP
Proxy-only
IP proxy autorisée détectée (51.75.251.128)
ok
Tester la zone proxy-only
CORS
Aucune origine externe détectée (testez via curl/fetch).
n/a
Explorer CORS Lab
Compression
Pas de Content-Encoding signalé
brut
Analyser la compression