📄 Article : Résolution du challenge Root-Me "HTML - Boutons désactivés"
🧩 Introduction
Le challenge "HTML - Boutons désactivés" de la plateforme Root-Me.org est un défi de la catégorie Web - Client, classé parmi les plus accessibles. L’objectif est simple : parvenir à activer un bouton désactivé dans une page HTML pour pouvoir soumettre un mot de passe ou accéder à un formulaire.
Mais derrière cette simplicité apparente, le challenge illustre bien l’un des problèmes classiques des interfaces web mal sécurisées : ne pas faire confiance au client.
🔍 Étape 1 : Observation de la page
Dès l’ouverture du challenge, on arrive sur une page comme celle-ci :
On y trouve :
-
Un champ de saisie pour un mot de passe.
-
Un bouton grisé avec l’attribut
disabled.
Si on tente de saisir un mot de passe, il est impossible de cliquer sur le bouton. Le formulaire ne peut pas être soumis.
🛠️ Étape 2 : Inspection du code HTML
Faisons un clic droit → "Inspecter" ou F12 pour ouvrir les outils de développement du navigateur (DevTools). On repère très vite le bouton :
<input type="submit" value="Valider" disabled>
Le mot-clé disabled empêche toute interaction avec ce bouton. Cependant, cette protection est purement côté client, et n’empêche pas le navigateur de modifier la page à la volée.
✏️ Étape 3 : Modification dans le navigateur
Dans la console ou directement dans l’inspecteur :
-
Double-clique sur l’attribut
disabled. -
Supprime-le.
Le bouton redevient actif :
✅ Étape 4 : Envoi du mot de passe
Il ne reste plus qu'à :
-
Entrer une valeur dans le champ (par exemple :
passwordou une chaîne vide si aucune vérification n’est faite). -
Cliquer sur "Valider".
La page renvoie alors le flag (ou une redirection vers une page de succès) 