Sécurité

Seguridad de Aplicaciones Web: los 9 pasos clave para pasar de cero a operativo

Web Application Security : lo esencial en un artículo — código real, diagramas y pasos concretos, extractos de un curso de 45 lecciones.

REHOUMA Haythem

11 min read
Seguridad de Aplicaciones Web: los 9 pasos clave para pasar de cero a operativo

Tout le monde peut apprendre Web Application Security — à condition de suivre les étapes dans le bon ordre. On a condensé un cours complet de 45 leçons en un parcours clair, avec les extraits de code les plus utiles.

tl;dr
  • Introduction et Lab
  • OWASP Top 10 et Methodologie
  • Injections SQL NoSQL Command
  • XSS Cross-Site Scripting
  • CSRF SSRF et Server-Side Request
~$ cat ./parcours.md # Web Application Security — 10 capítulos
01
Introducción y Lab
→ Presentación del curso y ecosistema seguridad web→ Instalar el lab : DVWA, Juice Shop, WebGoat+ 1 más lecciones
02
OWASP Top 10 y Metodología
→ OWASP Top 10 explicado (cada categoría)→ Metodología : recon, mapping, attack, exploit+ 2 más lecciones
03
Inyecciones SQL NoSQL Command
→ SQL injection clásica (UNION, error-based)→ Blind SQLi : boolean-based y time-based+ 2 más lecciones
04
XSS Cross-Site Scripting
→ Reflected, stored, DOM-based XSS→ Bypass de filtros y WAF (encodings, polyglotes)+ 2 más lecciones
05
CSRF SSRF y Server-Side Request
→ CSRF : token, SameSite, double-submit→ SSRF básica y explotación+ 2 más lecciones
06
Autenticación y Sesiones
→ Brute force inteligente (Burp Intruder, Hydra)→ JWT : alg=none, debilidades criptográficas, kid injection+ 2 más lecciones
07
API Security REST y GraphQL
→ OWASP API Security Top 10→ BOLA y broken function level authorization+ 2 más lecciones
08
Vulnerabilidades Modernas
→ Deserialización : PHP, Java, Python pickle→ Prototype pollution Node.js+ 2 más lecciones
🏁
Proyecto final (+ 2 capítulos en camino)
→ Te vas con un proyecto concreto y demostrable

SQL injection classique (UNION, error-based)

NOTEObjectif — Comprendre le mécanisme d'une injection SQL, la détecter, puis l'exploiter avec les techniques classiques UNION-based et error-based pour extraire des données d'une base.

Objectifs pédagogiques

TIPÀ l'issue de ce module
  • Expliquer pourquoi une SQLi est possible
  • Détecter une injection avec un simple guillemet
  • Exploiter une UNION-based pour lire d'autres tables
  • Utiliser les messages d'erreur (error-based)
  • Comprendre la correction définitive : requêtes paramétrées

Pourquoi une injection SQL existe ?

Une SQLi survient quand une entrée utilisateur est concaténée directement dans une requête SQL. Le moteur ne distingue plus le code (la requête) des données (l'entrée). L'attaquant injecte alors du SQL qui sera exécuté.

PayloadComportement attendu si vulnérable
'Erreur SQL / 500
' OR '1'='1Bypass d'authentification
1' AND '1'='2Résultat vide (condition fausse)
1' AND '1'='1Résultat normal (condition vraie)

UNION-based : lire d'autres tables

L'opérateur UNION SELECT permet de coller les résultats d'une seconde requête à la première. Conditions : même nombre de colonnes et types compatibles. On commence par trouver le nombre de colonnes avec ORDER BY.

OK Sécurisé

WARNINGAttention : échapper les guillemets à la main ne suffit JAMAIS (contournements multiples). La seule défense fiable est la requête paramétrée (prepared statement), où le moteur sépare code et données.

JWT : alg=none, faiblesses cryptographiques, kid injection

NOTEObjectif — Attaquer les JSON Web Tokens : comprendre leur structure, exploiter les failles classiques (alg=none, secret faible HS256, confusion RS256/HS256, injection via le header kid) et appliquer les bonnes pratiques de validation.

Objectifs pédagogiques

TIPÀ l'issue de ce module
  • Décoder et comprendre la structure d'un JWT
  • Exploiter la faille alg=none
  • Casser un secret HS256 faible
  • Comprendre la confusion d'algorithme RS256/HS256
  • Exploiter une injection via le header kid

Structure d'un JWT

Un JWT est composé de trois parties encodées en base64url, séparées par des points : header, payload, signature. Le header indique l'algorithme, le payload contient les claims (données), la signature garantit l'intégrité.

AlgorithmeSignatureVérification
HS256Secret partagéMême secret
RS256Clé privéeClé publique
ConfusionClé publique en HS256Le serveur valide à tort

Faille 4 : injection via kid

Le header kid (key ID) indique quelle clé utiliser. S'il est utilisé sans nettoyage pour lire un fichier ou interroger une base, on peut injecter un chemin (path traversal) ou du SQL.

Burp Suite Community : première prise en main

NOTEObjectif — Prendre en main Burp Suite Community : configurer le proxy, intercepter le trafic HTTP/HTTPS, installer le certificat CA, et utiliser les onglets essentiels (Proxy, Repeater, Target) pour rejouer et modifier des requêtes.

Objectifs pédagogiques

TIPÀ l'issue de ce module
  • Configurer le navigateur pour passer par le proxy Burp
  • Installer le certificat CA pour intercepter le HTTPS
  • Intercepter, modifier et transmettre une requête
  • Rejouer une requête dans le Repeater
  • Naviguer dans la sitemap (onglet Target)

Burp Suite, c'est quoi ?

Burp Suite est un proxy d'interception qui se place entre votre navigateur et le serveur web. Tout le trafic passe par lui : vous pouvez le voir, le modifier à la volée et le rejouer. C'est l'outil central de tout pentester web. L'édition Community est gratuite et suffit largement pour apprendre.

Repeater

Rejoue une requête autant de fois que vous voulez, en la modifiant.

Target

Construit la cartographie (sitemap) de l'application visitée.

Configurer le proxy

Par défaut, Burp écoute sur 127.0.0.1:8080. Il faut dire au navigateur d'y envoyer son trafic. La méthode la plus simple est le navigateur intégré de Burp (« Open Browser »), préconfiguré. Sinon, configurez un proxy manuel ou utilisez l'extension FoxyProxy.

Proxy manuel (Firefox)

WARNINGAttention : ce certificat est spécifique à VOTRE installation Burp. Ne l'installez jamais sur la machine de quelqu'un d'autre et supprimez-le quand vous avez fini : il permet de déchiffrer votre trafic HTTPS.

Premier workflow : intercepter et rejouer

Voici le geste de base que vous répéterez des milliers de fois.

ÉtapeAction
1Onglet Proxy → Intercept « on »
2Naviguer sur la cible (ex : DVWA login)
3La requête est capturée — lisez-la, modifiez-la
4Clic droit → « Send to Repeater »
5Dans Repeater, changez un paramètre, cliquez « Send »

Exemple : modifier un paramètre dans Repeater

va-plus-loin

Cet article couvre les extraits les plus utiles — le cours complet Web Application Security (11 chapitres, 45 leçons, exercices corrigés et projet final) t'emmène jusqu'au bout.

./acceder-au-cours-complet cours gratuit : Maîtriser Claude Code

FAQ

Combien de temps pour apprendre Web Application Security ?
Avec une progression structurée (11 chapitres, 45 leçons courtes et pratiques), on atteint un niveau opérationnel en quelques semaines à raison de 30 à 60 minutes par jour. L'important est de pratiquer chaque notion immédiatement.
Faut-il des prérequis ?
Des bases en informatique suffisent. Si tu sais utiliser un terminal et lire du code simple, tu es prêt.
Par où commencer concrètement ?
Reproduis les commandes de cet article, puis suis le cours complet Web Application Security : il enchaîne les 45 leçons dans l'ordre, avec exercices et projet final.
./a-lire-aussi
→ Lance-toi en Ethical Hacking Fundamentals : ton premier pas concret aujourd'hui→ Penetration Testing Avancé en pratique : le code et les commandes qui comptent vraiment→ Network Security Red Team expliqué simplement (avec schémas et vrai code)

📬 Tu veux recevoir ce type de guide chaque semaine ? Abonne-toi gratuitement — code réel, zéro blabla.

Stay up to date

Enter your email
Subscribe