Formation Sécurité Applicative
10 cas pratiques exécutables, couvrant les vulnérabilités les plus fréquentes. Chaque cas propose une version vulnérable, une version sécurisée, et un scénario d'exploitation pas-à-pas.
Top 10:2025 — Les 5 catégories les plus fréquentes
Broken Access Control (IDOR)
Un assuré modifie l'ID dans l'URL pour accéder au dossier sinistre d'un autre assuré. Aucune vérification d'appartenance côté serveur.
Security Misconfiguration
Endpoints Actuator exposés, stacktraces Java en clair dans les erreurs, CORS configuré en *.
Software Supply Chain Failures
Dépendance npm avec script postinstall malveillant. Désérialisation polymorphique Jackson activée.
Cryptographic Failures
Mots de passe hashés en MD5 sans sel. IBAN stockés en clair. Clés de chiffrement codées en dur.
Injection (XSS & SQLi)
XSS reflected et stored via JSP sans échappement. Injection SQL par concaténation de chaînes.
Security Top 10:2023 — Les 5 catégories les plus fréquentes
Broken Object Level Authorization
Accès aux ressources d'un autre assuré en modifiant l'ID dans la requête API. Authentification présente, autorisation objet absente.
Broken Authentication
Brute force sans rate limiting. Token JWT signé avec une clé faible, sans expiration.
Broken Object Property Level Auth.
Mass Assignment : un assuré s'auto-promeut administrateur en incluant le champ role dans son PUT.
Unrestricted Resource Consumption
Export sans pagination ni rate limiting. Saturation mémoire par 100 requêtes parallèles.
Broken Function Level Authorization
Sécurité uniquement côté front (v-if). L'API /api/admin/** n'a aucun contrôle de rôle côté serveur.