Aller au contenu
Miraat·dweb developer journey, reflected
IT EN FR عربي
SE

Sécurité Applicative

Pensez comme un attaquant pour écrire du code qui résiste. Vulnérabilités, hardening, audits.

18 compétences 7 mois Avancé
Pour écrire du code sécurisé, il faut d'abord comprendre comment le code casse. Ce parcours vous enseigne les principales classes de vulnérabilités (OWASP Top 10), le modèle de menace des applications web, et comment fonctionnent le hardening, les audits et la réponse aux incidents en pratique.

Ce n'est pas un cours de hacking : c'est une formation défensive, pensée pour les développeurs qui veulent réduire le risque dans les produits qu'ils livrent, et pour les personnes qui rejoignent des rôles AppSec ou blue team.

Débouchés : ingénieur AppSec, analyste blue team, full-stack orienté sécurité.
Modélisation des menaces · 25 min FOUNDATION · 25 MIN Modélisation des menaces OWASP Top 10 en profondeur · 30 min FOUNDATION · 30 MIN OWASP Top 10 en profondeur Injection SQL — défense · 30 min CORE · 30 MIN Injection SQL — défense Défense XSS · 30 min CORE · 30 MIN Défense XSS Défense CSRF · 25 min CORE · 25 MIN Défense CSRF Défense SSRF · 25 min ADVANCED · 25 MIN Défense SSRF Faiblesses d'authentification · 30 min CORE · 30 MIN Faiblesses d'authentificati… Gestion des sessions · 25 min CORE · 25 MIN Gestion des sessions Pièges du JWT · 25 min ADVANCED · 25 MIN Pièges du JWT Exécution de code à distance · 30 min ADVANCED · 30 MIN Exécution de code à distance Configuration TLS · 25 min CORE · 25 MIN Configuration TLS En-têtes de sécurité HTTP · 20 min CORE · 20 MIN En-têtes de sécurité HTTP Gestion des secrets · 25 min CORE · 25 MIN Gestion des secrets Sécurité des dépendances · 20 min CORE · 20 MIN Sécurité des dépendances Scan de vulnérabilités · 25 min ADVANCED · 25 MIN Scan de vulnérabilités Code review sécurité · 30 min ADVANCED · 30 MIN Code review sécurité Réponse aux incidents · 30 min ADVANCED · 30 MIN Réponse aux incidents Logging pour la sécurité · 25 min CORE · 25 MIN Logging pour la sécurité

Foundation

1
Modélisation des menaces
Cartographier actifs, attaquants et points d'entrée. STRIDE pour ingénieur pragmatique.
25 minutes
2
OWASP Top 10 en profondeur
Les 10 familles de bugs les plus courantes avec CVE réelles et correctifs.
30 minutes

Core

3
Injection SQL — défense
Pourquoi les prepared statements gagnent toujours, sécurité ORM, blind injection.
30 minutes
4
Défense XSS
Output encoding, CSP, trusted types, assainir uniquement aux frontières.
30 minutes
5
Défense CSRF
Tokens, cookies SameSite, double-submit, quand le même origin suffit.
25 minutes
7
Faiblesses d'authentification
Credential stuffing, brute force, failles de reset, bypass MFA.
30 minutes
8
Gestion des sessions
Attributs cookie, fixation, hijacking, rotation au changement de privilèges.
25 minutes
11
Configuration TLS
Suites de chiffrement, profils modernes, renouvellement auto, HSTS preload.
25 minutes
12
En-têtes de sécurité HTTP
CSP, X-Frame-Options, Referrer-Policy, Permissions-Policy. Gains faciles.
20 minutes
13
Gestion des secrets
Vault, KMS, sealed secrets. Rotation. Jamais dans git ni dans des .env en prod.
25 minutes
14
Sécurité des dépendances
Lockfiles, audit, upgrades automatisés, bases de vulnérabilités connues.
20 minutes
18
Logging pour la sécurité
Quoi logger, quoi NE PAS logger (PII !), chaînes anti-altération, rétention.
25 minutes

Advanced

6
Défense SSRF
Server-side request forgery : allowlist, blocage IP metadata, egress isolée.
25 minutes
9
Pièges du JWT
alg=none, key confusion, replay, pourquoi les tokens courts battent les blacklists.
25 minutes
10
Exécution de code à distance
Désérialisation non sûre, APIs eval-like, command injection, supply chain.
30 minutes
15
Scan de vulnérabilités
SAST, DAST, scanners de dépendances. Les intégrer en CI sans fatigue des faux positifs.
25 minutes
16
Code review sécurité
Repérer les bugs courants dans les PRs : une checklist qui dépasse l'intuition.
30 minutes
17
Réponse aux incidents
Détecter, contenir, éradiquer, récupérer. Communication. Postmortem blameless.
30 minutes