Zeroday Cyber Academy
Self-service · 10 modules · 12 labs Docker

Syllabus de la formation OWASP Top 10

Les 10 catégories du OWASP Top 10 (version 2021) en pratique : explication du concept, démo d'exploitation guidée, contre-mesures, quiz de validation. 7 heures de vidéo HD, 12 labs Docker hands-on, 3 PDFs de référence, accès à vie. Le socle utile à tout développeur web en 2026.

Accéder à la formation OWASP

Accès immédiat, rythme libre

Public visé & prérequis

Public visé

  • Développeurs web juniors et confirmés qui veulent solidifier leurs bases en sécurité web.
  • Personnes en reconversion cyber qui démarrent et veulent un socle AppSec solide.
  • Ingénieurs QA qui veulent intégrer la sécurité dans leurs tests.
  • Tech leads qui veulent un référentiel commun OWASP pour leur équipe.

Prérequis

  • Bases solides en développement web : HTTP, requêtes / réponses, cookies, sessions.
  • Familiarité avec au moins un langage backend (PHP, Python, Node, Java, Go).
  • Aisance dans un terminal Linux et avec Docker (pour lancer les 12 labs).
  • Aucun prérequis en cybersécurité : la formation pose les bases utilisables dès le module 1.

Modalités & objectif global

Format & durée

  • 10 modules vidéo, un par catégorie OWASP Top 10 (version 2021).
  • 12 labs Docker hands-on (exploitation puis correction).
  • Environ 10 à 15 heures au total : 7 h de vidéo + 5 à 8 h de labs selon votre niveau.
  • Quiz de validation par module + certificat de complétion automatique.
  • 3 PDFs de référence : cheatsheet, méthodologie, checklist.
  • Accès à vie + mises à jour.

Objectif global

  • Identifier et corriger les 10 catégories de vulnérabilités les plus courantes en web.
  • Construire une intuition sécurité utile au quotidien dans les revues de code.
  • Devenir le point de référence sécurité web junior dans votre équipe.
  • Préparer une trajectoire vers un poste AppSec ou DevSecOps via un format engageant ensuite.
A01 · OWASP Top 10 (2021)

Broken Access Control

Contrôles d'accès défaillants. La catégorie n°1 du Top 10. IDOR, élévation de privilège horizontale et verticale, contournement d'autorisation.

Objectifs pédagogiques

  • Identifier les vecteurs d'IDOR et d'élévation de privilège dans une application web.
  • Exploiter manuellement un IDOR puis automatiser la détection.
  • Mettre en place des contrôles d'accès défensifs corrects côté serveur.
  • Documenter une finding Broken Access Control dans un rapport de pentest.

Contenus & outils

  • IDOR (Insecure Direct Object Reference) : exemples concrets sur des API REST.
  • Élévation horizontale et verticale : différences, vecteurs typiques.
  • Contournement d'autorisation : modification de cookies, JWT, paramètres cachés.
  • Patterns de défense : autorisation centralisée, principe de moindre privilège, deny-by-default.

Modalités pédagogiques

  • Capsule vidéo dédiée à A01.
  • Lab Docker hands-on : exploitation + contre-mesures.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A01.
  • Exploitation guidée d'un IDOR dans le lab, puis correction côté code.
A02 · OWASP Top 10 (2021)

Cryptographic Failures

Failles cryptographiques. Données sensibles mal protégées, algorithmes obsolètes, mauvaise gestion des clés.

Objectifs pédagogiques

  • Identifier les données qui doivent être chiffrées et à quel niveau (transit, repos).
  • Reconnaître les algorithmes obsolètes ou mal configurés.
  • Mettre en place une cryptographie correcte avec les primitives recommandées.
  • Auditer la configuration TLS d'une application.

Contenus & outils

  • Données sensibles : PII, secrets, tokens, données financières.
  • Algorithmes obsolètes : MD5, SHA-1, DES, RC4, 3DES.
  • Bonnes pratiques : AES-GCM, ChaCha20-Poly1305, Argon2, bcrypt.
  • Configuration TLS : versions, ciphersuites, HSTS, certificate pinning.

Modalités pédagogiques

  • Capsule vidéo dédiée à A02.
  • Lab Docker hands-on : audit crypto + correction.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A02.
  • Audit cryptographique d'une application fournie + plan de remédiation.
A03 · OWASP Top 10 (2021)

Injection

Injections (SQL, NoSQL, OS command, LDAP). La classe d'attaque la plus connue. SQL, NoSQL, OS command, LDAP : même principe, mêmes patterns de défense.

Objectifs pédagogiques

  • Reconnaître les vecteurs d'injection dans tous les sous-types (SQL, NoSQL, OS, LDAP).
  • Exploiter manuellement une injection SQL classique puis blind.
  • Mettre en place les contre-mesures correctes (requêtes paramétrées, ORM, validation).
  • Détecter les injections automatiquement (SAST, sqlmap).

Contenus & outils

  • SQL Injection : in-band, blind boolean, blind time-based, second order.
  • NoSQL Injection : MongoDB, Elasticsearch, exemples concrets.
  • OS command injection : vecteurs, contournements de filtres.
  • Contre-mesures : requêtes paramétrées, ORM avec attention, validation et échappement.

Modalités pédagogiques

  • Capsule vidéo dédiée à A03.
  • Lab Docker hands-on : exploitation SQLi + correction côté code.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A03.
  • Exploitation d'une SQLi blind dans le lab + refactor sécurisé du code vulnérable.
A04 · OWASP Top 10 (2021)

Insecure Design

Défauts de conception sécurité. La sécurité absente dès la phase design : threat modeling manquant, principes de sécurité ignorés.

Objectifs pédagogiques

  • Identifier les défauts de conception sécurité dans une architecture.
  • Appliquer la méthode STRIDE pour repérer les manques.
  • Concevoir un système qui suit les principes de moindre privilège, defense-in-depth, fail-secure.
  • Distinguer un Insecure Design d'une Misconfiguration (A05).

Contenus & outils

  • Threat modeling STRIDE : décomposition d'un système, identification des trust boundaries.
  • Principes de sécurité by design : least privilege, defense-in-depth, fail-secure, separation of duties.
  • Anti-patterns courants : business logic flaws, race conditions, abuse cases ignorés.
  • Pratique : revue de design d'une fonctionnalité critique avec checklist sécurité.

Modalités pédagogiques

  • Capsule vidéo dédiée à A04.
  • Lab Docker hands-on : application avec défauts de conception à identifier + refactor design.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A04.
  • Mini threat model d'une fonctionnalité fournie, format markdown.
A05 · OWASP Top 10 (2021)

Security Misconfiguration

Mauvaises configurations. Le plus banal et le plus fréquent : configurations par défaut, headers manquants, verbosité d'erreurs.

Objectifs pédagogiques

  • Auditer la configuration de sécurité d'un serveur web et d'une application.
  • Configurer correctement les headers de sécurité HTTP (CSP, HSTS, X-Frame-Options).
  • Désactiver les fonctionnalités non utilisées et les comptes par défaut.
  • Mettre en place un processus de durcissement reproductible.

Contenus & outils

  • Headers de sécurité HTTP : CSP, HSTS, X-Frame-Options, Referrer-Policy, Permissions-Policy.
  • Configurations par défaut dangereuses : comptes admin, debug mode, error pages verbeuses.
  • Hardening serveur : nginx, Apache, IIS, configuration minimale.
  • Outils : Mozilla Observatory, securityheaders.com, scans automatisés.

Modalités pédagogiques

  • Capsule vidéo dédiée à A05.
  • Lab Docker hands-on : configuration server à durcir.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A05.
  • Audit de configuration d'une application fournie + plan de durcissement.

Cinq catégories OWASP maîtrisées : Broken Access Control, Crypto, Injection, Insecure Design, Misconfiguration. Démarrage immédiat dès inscription.

Accéder à la formation OWASP
A06 · OWASP Top 10 (2021)

Vulnerable and Outdated Components

Composants vulnérables ou obsolètes. Le problème supply chain. Dépendances tierces non patchées, vulnérabilités CVE non suivies.

Objectifs pédagogiques

  • Identifier les CVE critiques dans les dépendances d'une application.
  • Mettre en place une stratégie de mise à jour automatisée (Dependabot, Renovate).
  • Comprendre les bases du SBOM (Software Bill of Materials).
  • Repérer un comportement suspect de supply chain (typosquatting, dependency confusion).

Contenus & outils

  • SCA : Snyk, Dependabot, Renovate, configuration des seuils.
  • CVE et CVSS : lecture, priorisation, contexte d'exploitabilité.
  • SBOM : génération CycloneDX, SPDX, exploitation pour l'audit.
  • Étude de cas : Log4Shell (CVE-2021-44228), Heartbleed, vulnérabilités historiques marquantes.

Modalités pédagogiques

  • Capsule vidéo dédiée à A06.
  • Lab Docker hands-on : application avec dépendances vulnérables à auditer.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A06.
  • Audit SCA d'une application fournie + plan de remédiation priorisé.
A07 · OWASP Top 10 (2021)

Identification and Authentication Failures

Failles d'authentification. Authentification cassée : mots de passe faibles, sessions mal gérées, MFA contournable.

Objectifs pédagogiques

  • Identifier les failles d'authentification courantes (brute force, credential stuffing, session fixation).
  • Concevoir un système d'authentification résistant aux attaques modernes.
  • Mettre en place un MFA correct et résistant au phishing.
  • Auditer la gestion des sessions et des tokens (JWT, cookies).

Contenus & outils

  • Brute force et credential stuffing : protections (rate limiting, lockout, CAPTCHA).
  • Politique de mots de passe : longueur vs. complexité, dictionnaires interdits, Argon2/bcrypt.
  • MFA : TOTP, WebAuthn, push notifications, phishing-resistance.
  • Gestion des sessions : cookies sécurisés, JWT (pièges courants), session fixation.

Modalités pédagogiques

  • Capsule vidéo dédiée à A07.
  • Lab Docker hands-on : système d'authentification à attaquer + durcir.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A07.
  • Audit d'un système d'authentification fourni + recommandations argumentées.
A08 · OWASP Top 10 (2021)

Software and Data Integrity Failures

Failles d'intégrité. Mises à jour non vérifiées, dépendances signées partiellement, désérialisation non sécurisée.

Objectifs pédagogiques

  • Comprendre les vecteurs d'attaque par intégrité logicielle et données.
  • Mettre en place des signatures d'artefacts (Sigstore, Cosign).
  • Identifier les désérialisations non sécurisées (Java, Python, .NET).
  • Sécuriser une chaîne de mise à jour applicative.

Contenus & outils

  • Signatures d'artefacts : Sigstore, Cosign, vérification en CI et au déploiement.
  • Désérialisation non sécurisée : pickle Python, ObjectInputStream Java, BinaryFormatter .NET.
  • Subresource Integrity (SRI) : protection des assets tiers chargés par le navigateur.
  • Étude de cas : SolarWinds, contrôle d'intégrité de la chaîne build.

Modalités pédagogiques

  • Capsule vidéo dédiée à A08.
  • Lab Docker hands-on : exploitation désérialisation + remédiation.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A08.
  • Exploitation d'une désérialisation non sécurisée dans le lab + refactor sécurisé.
A09 · OWASP Top 10 (2021)

Security Logging and Monitoring Failures

Défauts de logs et monitoring. Sans logs, pas de détection. Sans détection, pas de réponse. Cécité totale en cas d'incident.

Objectifs pédagogiques

  • Concevoir une stratégie de logging sécurité utile et exploitable.
  • Identifier les événements de sécurité critiques à logger systématiquement.
  • Mettre en place une alerte correcte (pas trop sensible, pas trop bruyante).
  • Auditer la couverture logs d'une application existante.

Contenus & outils

  • Logs sécurité essentiels : authentification, autorisation, modifications de privilèges, accès aux données sensibles.
  • Format de logs : structuré (JSON), corrélation par request_id, traçabilité utilisateur.
  • Outils : ELK / Loki, SIEM (Splunk, Sentinel), détection d'anomalies.
  • Anti-patterns : logs en clair de PII, logs côté client, absence de rotation.

Modalités pédagogiques

  • Capsule vidéo dédiée à A09.
  • Lab Docker hands-on : application sans logs sécurité à instrumenter.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A09.
  • Plan de logging sécurité pour une application fournie + implémentation minimale.
A10 · OWASP Top 10 (2021)

Server-Side Request Forgery (SSRF)

Server-Side Request Forgery. L'application sert de proxy pour atteindre des services internes. Vecteur typique d'attaque cloud.

Objectifs pédagogiques

  • Identifier les vecteurs d'SSRF dans une application web ou API.
  • Exploiter une SSRF pour atteindre des métadonnées cloud (AWS IMDS, Azure IMDS).
  • Mettre en place les contre-mesures correctes (allowlist, isolation réseau).
  • Durcir une application qui doit légitimement faire des requêtes sortantes.

Contenus & outils

  • Vecteurs SSRF : redirections d'URL, parsing d'URL inconsistant, schemas exotiques (gopher, file).
  • Cibles typiques : IMDS cloud (AWS 169.254.169.254, Azure, GCP), services internes.
  • Contre-mesures : allowlist stricte de domaines, network policies, désactivation des schemas dangereux.
  • Cas avancés : SSRF blind, exploitation via DNS rebinding.

Modalités pédagogiques

  • Capsule vidéo dédiée à A10.
  • Lab Docker hands-on : exploitation SSRF + contre-mesures.
  • Quiz de validation à la fin du module.

Évaluations & livrables

  • Quiz technique sur A10.
  • Exploitation d'une SSRF dans le lab + implémentation d'une allowlist robuste.

Supply chain, authentification, intégrité, logs, SSRF : les 5 dernières catégories complètent le socle AppSec moderne. Accès à vie.

Accéder à la formation OWASP

Évaluation & suivi

Validation par quiz à la fin de chaque module + exercices pratiques sur les 12 labs Docker. Pas de RDV mentor, pas de support individualisé : le format self-service repose sur la complétion des quiz et l'exploitation hands-on des labs.

Évaluations continues

  • Quiz de validation à la fin de chaque module.
  • Exploitation guidée dans les 12 labs Docker (exploitation + correction).
  • Auto-correction via les quiz et les solutions des labs fournies.

Validation finale

  • Certificat de complétion automatique après validation des 10 quiz.
  • Aucun projet final audité (voir le Bootcamp DevSecOps si vous cherchez ce niveau).
  • Validation basée sur les quiz et la complétion des labs.
Accès immédiat

Prêt·e à maîtriser OWASP Top 10 ?

Inscription et accès immédiat. Le contenu est disponible dès la validation. Vous pouvez finir en 2 semaines ou en 3 mois selon votre disponibilité.

Accéder à la formation OWASP