• Inclure des infos dans la page entre des balises de commentaires <!-- comment -->.
• Ajouter des espaces et des tabulations à la fin des lignes. Sélectionnez la totalité du texte et vérifiez s'il n'y a pas des lignes anormalement longues. Si c'est le cas, enregistrez la page et ouvrez la dans un éditeur de texte hexadécimal dans lequel vous pourrez visualiser les codes 09h et 20h correspondant aux tabulations et aux espaces. Par chance, ces données ont été ajoutées grâce à un programme nommé snow
• Les scripts peuvent contenir toutes sortes de bizarreries. Par exemple des commentaires, ou une routine de vérification de mot de passe qui n'est jamais appelée mais qui contient la solution du problème.
• Des liens non cliquables ou encore des liens dans des endroits inattendus.
• Du texte de la même couleur que le fond de page.
• Des liens vers des images ou des fichiers dans un autre répertoire dans lequel figureront d'autres données. Faites notamment attention aux liens absolus et relatifs. Les images d'un site Web devraient normalement se trouver dans son répertoire /images. Mais vous pouvez tomber sur un lien vers images/pic.gif... et il y a donc un autre répertoire images avec de l'info.
• Cherchez tout ce qui sort de l'ordinaire : chaque niveau devrait se présenter comme les autres ... mais en voilà un avec un forum différent ou une autre image que celle du logo habituel. Faites la comparaison avec les niveaux précédents.
• L'examen d'un curieux texte crypté constitue une priorité !

Il y a quelque temps, un site particulier qui a depuis été totalement modifié, disposait d'un grand nombre de challenges cachés. Chacun des niveaux était du style "trouvez l'exploit et on ne vous dira rien d'autre". Pas d'indices, rien du tout. La façon de s'en sortir est en général d'essayer tout ce qu'on peut, comme rechercher des répertoires avec un nom donné, etc. Ma manière d'aborder ce genre d'épreuve est de recourir à une ressource comme celle que vous trouverez à Les listes de Rudi Carell (en bas de page) (1) et d'essayer les directories habituels - cgi, cgi-bin, _vti_pvt, admin, secure, private, bin, images, etc. Essayez aussi les fichiers classiques - .htpasswd, .htaccess, etc. La plupart des challenges disposent d'une structure hiérarchique level1/level2/level3, et vous aurez donc à voir level1/level2/level3/cgi-bin/ , et ainsi de suite.

Si rien de tout ça n'a marché, arrêtez-vous et reprenez un peu plus tard. Vous aviez sans doute la réponse sous les yeux depuis le début. Je me souviens d'une réponse qui se trouvait une page 404 et à moins de ne pas remarquer que ce n'était pas la page 404 habituelle, vous seriez nécessairement passé à côté. Donc, rappelez-vous que si vous savez qu'un challenge donné a un élément caché, n'écartez aucune possibilité a priori.