Penser comme un attaquant
Le bon code fait marcher les choses, la sécu cherche comment les casser. Mindset, éthique, légalité et OWASP Top 10.
Modèle de menace
Surface d'attaque, qui attaque quoi, défense en profondeur : pourquoi une seule barrière ne suffit jamais.
Injection SQL
L'attaque qui vide une base, en vrai. Requêtes paramétrées en PHP et Go, et pourquoi l'échappement ne suffit pas.
Failles XSS
Reflected, stored, DOM : injecter du JS chez la victime. Encodage en sortie, textContent vs innerHTML.
Injection de commandes
Exécuter une commande système ou lire un fichier interdit via une entrée non validée. Allowlist et APIs sûres.
Contrôle d'accès
Le numéro 1 d'OWASP : IDOR, élévation de privilèges, et la règle d'or « vérifier côté serveur, toujours ».
Authentification et mots de passe
Pourquoi md5 est une faute, bcrypt/Argon2, brute force et limitation de débit, notions de MFA.
Sessions et cookies sécurisés
HttpOnly, Secure, SameSite, session fixation : ce qui transite vraiment et comment voler une session.
CSRF
Faire agir la victime à son insu. Le token synchronizer comme vraie défense, SameSite en défense en profondeur.
CORS et Same-Origin Policy
Ce que CORS fait vraiment, pourquoi ce n'est PAS une sécurité serveur et ne stoppe pas le CSRF.
Headers de sécurité et CSP
Content-Security-Policy nonce + strict-dynamic, HSTS, X-Frame-Options : durcir le navigateur sans faux sentiment.
Cryptographie appliquée
Hachage vs chiffrement, HTTPS/TLS, secrets et .env, et la règle « ne roule jamais ta propre crypto ».
Dépendances et supply chain
Une faille dans une dépendance est ta faille. composer audit, npm audit, intégrité et confiance.
Logs, erreurs et déploiement
Logger sans fuiter de données, gérer les erreurs sans tout révéler, et la checklist OWASP 2025 de mise en prod.
Pour aller plus loin · Niveau 2
Six attaques spécifiques, au-delà du Top 10 de base, chacune avec son labo : path traversal, upload, SSRF, injection de template, désérialisation, et la sécurité des applications IA.
Path traversal
Sortir du dossier prévu avec ../../ pour lire un fichier interdit. Allowlist et chemin canonique.
Upload de fichiers
Déposer un shell.php et prendre le serveur. Allowlist, contenu réel, stockage où rien ne s'exécute.
SSRF
Forcer le serveur à requêter l'interne, jusqu'aux identifiants cloud. Allowlist et plages privées bloquées.
Injection de template (SSTI)
Quand {{7*7}} renvoie 49 : la saisie compilée comme un template mène au RCE. L'entrée est une donnée.
Désérialisation non sécurisée
Un cookie sérialisé devient un objet piégé qui exécute du code. Du JSON, jamais unserialize sur de l'entrée.
Sécurité des apps IA
L'injection de prompt détourne un LLM. Moindre privilège, humain dans la boucle, sortie non fiable.
Ce que vous allez apprendre
Repérer et corriger les failles de l'OWASP Top 10 2025 dans votre code
Comprendre l'injection SQL, le XSS et le CSRF de l'attaque jusqu'au correctif
Sécuriser l'authentification, les sessions, les cookies et les mots de passe
Configurer CORS, les headers de sécurité et la CSP sans faux sentiment de sécurité
Ce cours montre des attaques pour apprendre à s'en défendre. Ne testez ces techniques que sur vos propres systèmes ou sur des plateformes d'entraînement dédiées (et autorisées). Attaquer un système tiers sans autorisation écrite est illégal.