Formation Hacking avancé des applications web

Approfondissez vos compétences offensives sur les vulnérabilités avancées du web : injections NoSQL, race conditions, désérialisation, OAuth, REDoS et bien plus, sur 3 jours intensifs !

Formation Hacking avancé des applications web

Description

Cette formation avancée sur le hacking et la sécurité des applications web vous permettra de développer des compétences expertes en cybersécurité.

Pendant 3 jours, vous apprendrez à :

  • exploiter des vulnérabilités avancées souvent négligées dans les audits classiques
  • contourner les mécanismes d'authentification et d'autorisation modernes
  • analyser des scénarios d'attaque complexes mêlant logique métier, sérialisation et timing.

Grâce à des ateliers pratiques sur OWASP Juice Shop et des exercices personnalisés, vous maîtriserez les outils et techniques pour :
- identifier les failles les plus subtiles,
- renforcer la robustesse de vos applications web et
- anticiper les nouvelles formes d'attaques.

Public

Cette formation s'adresse aux développeur·se·s, ingénieur·e·s en sécurité, auditeur·rice·s techniques, administrateur·rice·s systèmes ayant des bases solides en cybersécurité et souhaitant approfondir leurs connaissances des menaces avancées.

Les objectifs

  • Exploiter des vulnérabilités avancées rarement couvertes par les scanners automatiques
  • Identifier et tester les failles liées à la logique métier, au timing et à l'authentification moderne
  • Maîtriser les attaques sur la sérialisation, les dépendances et les algorithmes exposés

Pré-requis

  • Bonne maîtrise des bases en cybersécurité (OWASP, injections SQL, XSS, SSRF, subdomain takeover)
  • Connaissance en développement web (JavaScript, HTML, backend)
  • Expérience avec des outils de test de pénétration (Burp Suite, OWASP ZAP)
  • Bases solides sur les protocoles réseau et la sécurité des API
  • Ordinateur portable à apporter

Le programme de la formation Hacking avancé des applications web

Jour 1 – Injections avancées et logique applicative

  • NoSQL Injection
    • Différences d'exploitation par rapport aux injections SQL classiques
    • Attaques sur MongoDB, Redis et autres stores NoSQL
    • Bypass d'authentification et extraction de données
  • Second-Order Bugs
    • Compréhension des attaques différées via des entrées persistantes
    • Identification des risques associés dans les flux complexes
  • Business-Logic Bugs
    • Détection de failles liées aux règles métier (prix, quotas, workflows)
    • Techniques de fuzzing sémantique pour les tester
  • Race Conditions
    • Exploitation des conditions de concurrence dans les applications web
    • Attaques TOCTOU, double-spend et contournement de limites
  • Insufficient Randomness
    • Risques liés aux générateurs pseudo-aléatoires prévisibles
    • Exploitation dans les contextes de tokens, OTP et sessions

Mise en pratique
- Exploitation de challenges OWASP Juice Shop sur les injections NoSQL
- Scénarios de race conditions sur une application e-commerce vulnérable

Jour 2 – Attaques côté client, authentification et cache

  • Client-Side Path Traversal
    • Exploitation des routeurs front-end pour contourner les contrôles d'accès
    • Impact comparable au CSRF, vecteurs modernes dans les SPA
  • Prototype Pollution
    • Vulnérabilités JavaScript pouvant mener à des prises de contrôle complètes
    • Exploitation côté client et côté serveur (Node.js)
  • postMessage
    • Sécurisation des communications inter-domaines
    • Prévention de l'exfiltration de données via les événements de messagerie
  • OAuth / OpenID Connect & JWT
    • Attaques sur les flux OAuth (open redirect, token leakage, confusion de rôles)
    • Failles JWT : alg:none, confusion RS256/HS256, faibles secrets
    • Bonnes pratiques d'implémentation
  • Web Cache Poisoning
    • Manipulation des en-têtes pour empoisonner les caches CDN et applicatifs
    • Exploitation pour du XSS ou du phishing à grande échelle

Mise en pratique
- Exploitation d'un flow OAuth mal configuré
- Attaque de cache poisoning sur un environnement simulé avec Burp Suite

Jour 3 – Sérialisation, dépendances, infrastructure et performance

  • Insecure Deserialization & Decompression
    • Extension des attaques XXE aux formats YAML, JSON Schema et binaires
    • Désérialisation native : Python/pickle, Java, PHP object injection
    • Zip Slip et décompression malveillante
  • Dépendances et Dependency Confusion
    • Exploitation des chaînes de dépendances (npm, PyPI, Maven)
    • Attaques de type supply chain et sécurisation des bibliothèques tierces
  • Algorithmes inefficaces / REDoS
    • Déni de service applicatif par expressions régulières catastrophiques
    • Identification et correction des patterns vulnérables
  • Sécurité des E-mails
    • Protection contre les attaques par usurpation grâce à SPF, DKIM et DMARC
    • Analyse des configurations défaillantes fréquentes
  • CRLF Injection (rappel)
    • Fonctionnement et impact sur les en-têtes HTTP
    • Pourquoi les frameworks modernes l'atténuent et quand elle reste exploitable

Mise en pratique
- Exploitation d'une désérialisation Python/pickle dans une API
- Évaluation finale avec Burp Suite : audit complet d'une application intégrant les failles vues en formation

Télécharger le programme

Formateur

Anthony DESSIATNIKOFF

Anthony est titulaire d'un doctorat en cybersécurité et réalise depuis 2014 des audits de sécurité pour des entreprises de petites et grandes tailles. Ses domaines de prédilections sont la sécurité des applications web, le pentest avec Python et le hacking avancé.

Son approche pédagogique repose sur un équilibre entre théorie et pratique, avec des exercices interactifs et des quizz pour consolider les acquis. Pour enrichir l’expérience de ses stagiaires, Anthony a d'ailleurs développé sa propre plateforme d’exercices.

Passionné par les tests d’intrusion, l’audit de code et le développement sécurisé (PHP, Python, Node.js), il adapte ses formations aux besoins des développeurs souhaitant renforcer la sécurité de leurs projets.

Que ce soit en présentiel ou en distanciel, Anthony propose des formations accessibles, idéales pour acquérir des compétences concrètes en cybersécurité.

FAQ

Nos formations sont éligibles à plusieurs dispositifs de financement, selon votre situation. Human Coders est certifié Qualiopi, ce qui permet la prise en charge par des organismes comme Pôle emploi, votre OPCO ou encore le CPF (Compte Personnel de Formation) pour certaines formations.

Pour en savoir plus, veuillez consulter notre page : Comment financer votre formation ?

Oui, la formation peut être proposée en présentiel ou en distanciel. Pour les inter-entreprises, les modalités (présentiel ou à distance) sont fonction de la session.

Nous pouvons organiser des sessions à d'autres dates ou dans d'autres villes (Bordeaux, Lille, Lyon, Marseille, Montpellier, Nantes, Nice, Paris, Strasbourg, Toulouse...)

Les formations se déroulent toujours en petit groupe de 3 à 6 stagiaires. Nous souhaitons que les formateurs et formatrices puissent passer un maximum de temps avec chacun·e.

Voici une journée type :

  • 9h : vous êtes accueillis par votre formateur·rice autour d'un petit déjeuner (croissants, pains au chocolat, jus de fruit, thé ou café...)
  • 9h30 : la formation commence
  • 12h30 : pause de midi. Le·a formateur·rice mangera avec vous. C'est l'occasion d'avoir des discussions plus informelles.
  • 14h : reprise de la formation
  • 18h : fin de la journée

8 raisons de participer à une formation Human Coders

  • Satisfaction client élevée : Un taux de statisfaction de 4,6/5 depuis 2012 (sur 1875 sessions réalisées). 99% des participants se disent satisfaits de nos formations
  • Approche pédagogique unique : Des formations en petit groupe, des formateurs passionnés et expérimentés, de véritables workshops... (Plus d'infos sur notre manifeste)
  • Catalogue de formations complet : 253 formations au catalogue, de quoi vous accompagner sur tout vos projets
  • Écosystème dynamique : Nous accompagnons les dev depuis 14 ans avec des initiatives comme Human Coders News, les Human Talks, le podcast ou encore notre serveur Discord
  • Financement facilité : Organisme certifié Qualiopi, indispensable pour que vous puissiez obtenir des aides au financement via votre OPCO
  • Références clients prestigieuses : De nombreux clients qui nous font confiance depuis des années
  • Accompagnement sur mesure : Nous vous proposons un accompagnement personnalisé par nos consultants pour vous aider dans vos projets au-delà de la formation
  • Valorisation professionnelle : Remise d'un diplôme, d'une attestation et d'une certification, suivant les formations effectuées, que vous pourrez afficher sur vos CV et réseaux sociaux

Prix (Formation inter-entreprise)

2250 € HT / personne

Durée

3 jours

Dates

Juillet
15 À distance
Septembre
10 À distance
Octobre
13 À distance
Novembre
26 À distance

N'hésitez pas à nous proposer d'autres dates ou lieux, si ceux proposés ne vous conviennent pas.

Formation intra-entreprise en présentiel ou à distance pour plusieurs personnes de votre entreprise.

Il est possible de modifier le programme ou l'adapter pour vos équipes. Indiquez-le nous !

Durée

3 jours

Formation privatisée pour une personne

  • Nous adaptons le contenu à vos besoins et attentes spécifiques
  • Vous choisissez la période de réalisation (la session est garantie)
  • Le·a formateur·rice adapte les exercices en fonction de votre projet

Durée

3 jours

Besoin d'aide ?

Vous souhaitez discuter avec nous à propos de votre projet de formation ?
Vous voulez plus d'information sur une formation ou notre fonctionnement ?


Rappel Email

Nos forces

  • Des formations à taille humaine
  • Des formateurs passionnés
  • Des véritables workshop
Accéder au Manifeste

Nos clients

Alcatel Submarine Networks
Boursorama
Orange
LBC France
OVH
Deezer

* Nombre de personnes ayant répondu au questionnaire de satisfaction sur cette formation depuis 2012