Humanix-Cybersecurity Logo
Offensive

Sécurité Web & API, attaque, défense & CTF

Exploitez le OWASP Top 10 sur notre CTF « Carte au Trésor », puis apprenez à détecter et bloquer chaque attaque.

Durée
21h · 3 modules de 7h
Public visé
Développeurs web, pentesters juniors, tech leads, administrateurs systèmes souhaitant comprendre, exploiter et corriger les vulnérabilités web et API les plus courantes.
Tarif inter
1 800 € HT / stagiaire (parcours 21h)
À la carte : 600 € HT / stagiaire (module 7h)
Tarif intra
5 000 € HT / groupe jusqu'à 8 stagiaires (parcours 21h)
À la carte : 1 800 € HT / groupe (module 7h)

Format modulaire : parcours de 21h en 3 modules de 7h. Suivez le parcours complet ou seulement les modules de 7h qui vous intéressent, à la carte.

Objectifs pédagogiques

  • Exploiter les catégories du OWASP Top 10 sur une application web réelle via le CTF « Carte au Trésor »
  • Utiliser Burp Suite pour intercepter, analyser et modifier les requêtes HTTP/HTTPS en conditions de pentest
  • Identifier et exploiter les injections (SQL, NoSQL, command injection, SSTI) en conditions réalistes
  • Détecter et exploiter les failles d'authentification, de gestion de session et les contrôles d'accès défaillants (BOLA, IDOR)
  • Tester la sécurité d'une API REST : BOLA, BFLA, mass assignment, excessive data exposure, rate limiting
  • Corriger chaque catégorie de vulnérabilité exploitée, le stagiaire passe côté défense après chaque attaque
  • Configurer des règles de détection (WAF, Wazuh/SIEM) pour identifier les attaques web en temps réel
  • Produire un rapport de pentest web structuré avec recommandations de remédiation priorisées

Prérequis

Bases en développement web (HTML, JavaScript, HTTP). Notions de backend (API REST, bases de données). Aisance en ligne de commande.

Programme détaillé

M1

Reconnaissance web, injections & premières défenses · module 7h

  • Méthodologie pentest web : reconnaissance, cartographie, exploitation, reporting
  • REX mission : retour sur un pentest web réel (anonymisé), chaînage de failles mineures vers un impact critique
  • Lab : prise en main du CTF « Carte au Trésor » (application web vulnérable Humanix, Burp Suite, plateforme CTFd)
  • Burp Suite : proxy, interception, repeater, intruder, les fondamentaux du pentester web
  • Injections SQL : détection manuelle, exploitation (UNION, blind, time-based), automatisation avec SQLMap
  • Autres injections : NoSQL, command injection, SSTI, exploitation et impact
  • Volet défense : requêtes paramétrées, validation d'entrée, sandboxing, premiers flags du CTF
M2

Authentification, XSS, CSRF & sécurité API · module 7h

  • Failles d'authentification : brute force, credential stuffing, bypass MFA, session fixation, tokens prévisibles
  • XSS (Reflected, Stored, DOM-based) : exploitation et impact réel (vol de session, keylogging)
  • CSRF & SSRF : principes, exploitation pratique, rebond côté serveur
  • IDOR & contrôle d'accès : accès horizontal et vertical, manipulation de références
  • Sécurité API REST : BOLA, BFLA, mass assignment, excessive data exposure, absence de rate limiting
  • Atelier attaque : flags authentification, XSS et API sur le CTF « Carte au Trésor »
  • Volet défense : headers de sécurité (CSP, CORS), tokens anti-CSRF, validation côté serveur, rate limiting
M3

Exploitation avancée, CTF final & Blue Team web · module 7h

  • Désérialisation insecure, upload de fichiers (webshell), misconfigurations (debug en prod, credentials par défaut)
  • Chaînage de vulnérabilités : combiner des failles mineures pour un impact critique (le scénario REX)
  • CTF final noté (3h) : parcours complet « Carte au Trésor », flags couvrant le OWASP Top 10
  • WAF : déployer et configurer un pare-feu applicatif devant l'application, écrire des règles custom
  • Tester le WAF : rejouer ses attaques et vérifier qu'elles sont bloquées
  • Wazuh / SIEM : collecte de logs web, règles de détection des patterns OWASP, qualification d'incident
  • Scénario Purple Team : le formateur attaque, les stagiaires détectent et qualifient via le SIEM

Points forts

CTF « Carte au Trésor » développé par Humanix, environnement réaliste, pas un exercice académique
Approche complète attaque + défense : chaque faille exploitée est ensuite corrigée et monitorée
Volet Blue Team concret : WAF + SIEM (Wazuh) configurés par le stagiaire sur l'application du CTF
Formateur pentester web en activité, chaque technique illustrée par un cas réel de mission
Le stagiaire repart avec une méthodologie applicable immédiatement sur ses propres applications

Ancrage terrain

Retour d'expérience mission (anonymisé)

Pentest web d'une application métier SaaS (PME, 200 utilisateurs). Chaînage XSS stored + IDOR permettant l'accès admin complet en 2 étapes. Aucun WAF, aucun monitoring, l'attaque est passée inaperçue. Le scénario du CTF et le volet défense en sont directement dérivés.

Modalités

Modalités pédagogiques
80 % pratique / 20 % théorie. Le CTF « Carte au Trésor » (développé par Humanix) sert de fil rouge : chaque vulnérabilité est d'abord exploitée (Red Team) puis corrigée et détectée (Blue Team). Scénario Purple Team en fin de parcours. REX de mission réelle intégré. Pas de slides sans terminal.
Moyens techniques
CTF « Carte au Trésor » (application web vulnérable Humanix, hébergée en Docker). Plateforme CTFd pour le scoring. Outils offensifs : Burp Suite, SQLMap, Nuclei, ffuf, curl. Outils défensifs : WAF (ModSecurity ou équivalent), Wazuh (SIEM). Accès individuel aux labs.
Évaluation des acquis
Positionnement en amont (questionnaire de pré-évaluation). Évaluation continue par les ateliers attaque/défense. CTF noté (capture de flags = preuve mesurable des acquis offensifs). Évaluation défensive : détection et qualification d'attaques via le SIEM. Questionnaire de satisfaction à chaud.
Modalités d'accès
Inscription par formulaire sur le site ou via Digital 113 / Human Coders. Délai d'accès : 2 à 4 semaines selon le calendrier des sessions (intra : dates à convenir).
Accessibilité PSH
Formation accessible aux personnes en situation de handicap. Contactez-nous en amont pour adapter les modalités pédagogiques et techniques à vos besoins spécifiques. Référent handicap : Florian Durano, fdurano@humanix-cybersecurity.fr.
Cadre légal
Toutes les techniques offensives sont pratiquées exclusivement sur le CTF « Carte au Trésor », lab isolé à finalité pédagogique, sans connexion au réseau de production. Le formateur rappelle systématiquement le cadre légal : ces techniques ne s'emploient que dans un périmètre explicitement autorisé (contrat de pentest, autorisation écrite). Articles 323-1 à 323-7 du Code pénal.

Intéressé par cette formation ?

Inter, intra, sur-mesure, contactez-nous pour un devis ou une session.

Demander un devis Programme PDF One-pager PDF