> For the complete documentation index, see [llms.txt](https://sharpforce.gitbook.io/cybersecurity/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://sharpforce.gitbook.io/cybersecurity/mes-projets/myexpense.md).

# MyExpense

## Description

* **Difficulté :** Facile
* **Type :** Réaliste
* **Technologies :** PHP / MySQL
* **Réseau :** DHCP

**MyExpense** est une application **volontairement vulnérable** permettant de s’entraîner à détecter et à exploiter différentes vulnérabilités web. Contrairement à une application de type "challenge" plus classique (qui permet de s'entraîner sur une seule vulnérabilité précise), MyExpense contient un ensemble de vulnérabilités.

Le second objectif de cette application est d'immerger l'attaquant dans un environnement professionnel. Pour cela, un effort a été fourni afin que l'application ressemble le plus possible à un outil destiné à une utilisation interne par les employés de l'entreprise "Futura Business Informatique". De plus, il est possible (et nécessaire afin de récupérer le flag/drapeau validant le challenge) de lancer des scripts permettant de simuler l'utilisation de l'application par des employés afin d'exploiter certaines vulnérabilités ayant pour victime les utilisateurs authentifiés.

![](/files/UdzMBzfF2f7ZVhG0NaQX)

## Statut du projet

Le développement de l'application est terminée. Elle est disponible directement via [Github](https://github.com/Sharpforce/MyExpense) ou sur le site [Vulnhub](https://www.vulnhub.com/entry/myexpense-1,405/).

## Changelog

**22/09/2024 :** Correction d'un bug lors de l'exploitation de l'injection SQL.

```
Fixed
- Issue during the exploitation of the SQL injection
```

**27/03/2024 :** Correction d'un bug lors de l'installation à partir des sources (image Vbox, compatible 7.0 et Debian 12, disponible [ici](https://www.mediafire.com/file/e1hjy5orlpd87au/My_Expense_Vulnerable_Web_Application_-_1.3.ova/file)).

```
Changed
- Based on Debian 12
- Installation from source is nox based on a automatic script

Fixed
- Initialization of the database not possible when installing the application from the sources.
```

**21/05/2023 :** Amélioration des scripts Selenium/Chrome et affichage de l'IP de la machine virtuelle.

```
Added
- IP address is now diplayed at the startup of the virtual machine

Changed
- Improve Selenium/Chrome users scripts
```

**28/03/2023 :** Mise à jour des librairies (image Vbox, compatible 7.0, disponible [ici](https://www.mediafire.com/file/smscycfha2qb3u1/My_Expense_Vulnerable_Web_Application_%2528Debian11%2529.ova/file))

```
Changed
- Based on Debian 11
- Use Python3 and Chrome headless
```


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://sharpforce.gitbook.io/cybersecurity/mes-projets/myexpense.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.
