Formation Tests d’intrusion d’applications Web et API : Initiation + Approfondissement
Public : Pentesters et auditeurs sécurité Développeurs et architectes souhaitant renforcer la sécurité Web/API Ingénieurs sécurité, RSSI et consultants techniques impliqués dans des audits applicatifs
Durée : 5 jour(s)
Syllabus de la formation Tests d’intrusion d’applications Web et API : Initiation + Approfondissement
Pré-requis : Bonnes bases en HTTP/HTTPS, API REST et JSON - Connaissances en sécurité Web (OWASP Top 10) et notions de pentest - Aisance avec un environnement Linux et l’utilisation d’outils en ligne de commande
Objectifs : Comprendre en profondeur les spécificités de la sécurité des applications Web et des API - Identifier les faiblesses logiques et techniques des applis Web modernes et des API (authentification, autorisation, session, données) - Disposer des compétences nécessaires pour conduire des tests d’intrusion avancés en environnement contrôlé et interpréter les résultats - Être en mesure de proposer des contre-mesures concrètes et de dialoguer efficacement avec les équipes de développement
Sanction : Attestation de fin de formation mentionnant le résultat des acquis
Référence : CYB102748-F
Accessibilité : Si vous êtes en situation de handicap, nous sommes en mesure de vous accueillir, n'hésitez pas à nous contacter à referenthandicap@dawan.fr, nous étudierons ensemble vos besoins
Contact : commercial@dawan.fr
3 975,00 € HT
Tarif plein :
- Paiement à 60 jours
- Report possible à J-3
- 3 tickets d'assistance
Programme de Formation Tests d’intrusion d’applications Web et API : Initiation + Approfondissement
Jour 1 – Comprendre et cadrer un test d’intrusion Web et API
Analyser les architectures Web modernes et les flux applicatifs
Revoir HTTP/HTTPS, cookies, sessions, en-têtes, CORS et CSRF
Comprendre les principes des API REST, endpoints, verbes HTTP et codes de retour
Appliquer une méthodologie de test d’intrusion applicatif
Réaliser la reconnaissance, la cartographie et la définition du périmètre
Mettre en place l’environnement de test et les outils d’analyse
Atelier fil rouge : cartographier une application Web et une API, établir une checklist initiale et prioriser les tests
Jour 2 – Tester l’authentification et la gestion de session
Identifier et analyser les mécanismes d’authentification
Tester la robustesse des mots de passe, des erreurs et des protections anti-brute force
Évaluer la gestion de session, cookies, tokens, expiration et renouvellement
Analyser les mécanismes de réinitialisation de mot de passe
Comprendre et tester les JWT, leur structure, validation et signature
Introduire OAuth2 et OpenID Connect dans le cadre d’un audit applicatif
Atelier fil rouge : tester l’authentification et la session, identifier les failles et proposer des mesures correctives
Jour 3 – Tester les autorisations et les contrôles d’accès
Distinguer authentification et autorisation dans une application
Tester les contrôles d’accès horizontaux et verticaux
Identifier les vulnérabilités de type IDOR et fuites de données
Analyser la séparation des rôles et les contournements possibles
Comparer contrôles côté client et contrôles côté serveur
Évaluer les impacts métiers et prioriser les risques
Atelier fil rouge : mettre en œuvre des scénarios de contournement de droits et formuler des recommandations
Jour 4 – Tester les entrées utilisateur et exploiter les vulnérabilités Web
Identifier et analyser les points d’entrée utilisateur
Tester la validation des données, encodages et normalisation
Détecter et exploiter les injections SQL et leurs impacts
Tester les injections de commandes et les risques liés aux appels système
Analyser les injections de templates et interpréteurs
Tester les XSS, SSRF, open redirect et vulnérabilités liées aux flux
Atelier fil rouge : conduire une campagne de tests d’entrées, documenter les vulnérabilités et proposer des correctifs
Jour 5 – Tester la sécurité des API et structurer la restitution
Identifier les risques spécifiques aux API et aux erreurs de conception
Tester les endpoints API, paramètres, filtres, pagination et tri
Évaluer les contrôles d’accès API et l’exposition fonctionnelle
Tester le rate limiting et les mécanismes anti-abus
Analyser les messages d’erreur et les fuites d’informations
Structurer un rapport d’audit avec preuves, scoring et recommandations
Définir un plan d’actions et dialoguer avec les équipes techniques
Atelier fil rouge final : produire un mini-rapport d’audit Web et API avec plan de remédiation
Délai d'accès :
Le délai d’accès à la formation certifiante est de 7 jours après validation du dossier. Dans le cas d’un financement via votre CPF, la validation de votre dossier devra être réalisée 11 jours ouvrés avant le début de formation. Hors certification CPF, délais d'accès de une à trois semaines en fonction des sessions ouvertes.
Méthodes mobilisées :
- Un formateur expert ayant suivi une formation à la pédagogie et ayant au minimum 3 année d'expériences dans le domaine visé
- Matériel pour les formations présentielles informatiques : un PC par participant
- Un support et les exercices du cours pour chaque stagiaire
- Synchrone en présentiel ou distanciel. Plateforme utilisée : Microsoft Teams. Pour le distanciel : diagnostic technique avec les stagiaires pour tester la connexion et les modalités pratiques.
- Méthodologie basée sur l'Active Learning (75% de pratique minimum) et un programme pédagogique riche et interactif :
- Expositive : Apport de contenu théorique structuré pour consolider vos connaissances.
- Interrogative : Moments de réflexion pour questionner et approfondir vos pratiques.
- Démonstrative : Exercices pratiques pour illustrer les concepts clés.
- Active : Ateliers d'entraînement pour une mise en application immédiate.
- Expérimentale : Études de cas concrets pour ancrer les apprentissages dans la réalité.
- Collaborative : Espaces de partage et d'échange d'expériences pour enrichir la formation.
- Un format conçu pour favoriser l'engagement, la pratique et l'impact durable dans vos activités professionnelles.
Méthodes d'évaluation :
Les évaluations en cours de formations sont réalisées par les ateliers de mise en pratique et les échanges avec les formateurs.
Un espace apprenant dédié moncompte.dawan.fr pour :
- Informations relatives à la ou aux futures formations (plan, syllabus et éventuellement informations relatives à la certification)
- Positionnement à l'entrée et à la sortie de la formation
- Définition des besoins et attentes par l'apprenant en amont de la formation
- Émargement en ligne
- Évaluation à chaud
- Évaluation à froid
- Attestation de formation
- Boissons offertes pendant les pauses en inter-entreprises
- Salles lumineuses et locaux facilement accessibles
- Certification CPF quand formation éligible
Suite de parcours et formations associées
- Formation Hacking et sécurité : Les fondamentaux - 4 jour(s)
- Formation Hacking et sécurité : Niveau avancé - 5 jour(s)
- Formation Tests d’intrusion d’applications Web et API : Initiation - 3 jour(s)
- Formation Tests d’intrusion d’applications Web et API : Approfondissement - 2 jour(s)
- Formation Tests d’intrusion d’applications Web et API : Initiation + Approfondissement - 5 jour(s)
- Formation Tests d’intrusion sur infrastructures internes et Active Directory - 5 jour(s)
- Formation Réponse à incident et analyse forensique – Niveau expert opérationnel - 5 jour(s)
Pour suivre une session à distance depuis l'un de nos centres, contactez-nous.
| Lieu | Date | Remisé | Actions |
|---|---|---|---|
| Distance | Du 23/02/2026 au 27/02/2026 | Oui | S'inscrire |
| Distance | Du 30/03/2026 au 03/04/2026 | Oui | S'inscrire |
| Distance | Du 15/06/2026 au 19/06/2026 | Oui | S'inscrire |
| Distance | Du 27/07/2026 au 31/07/2026 | Oui | S'inscrire |
| Distance | Du 31/08/2026 au 04/09/2026 | Oui | S'inscrire |
| Distance | Du 05/10/2026 au 09/10/2026 | Oui | S'inscrire |
| Distance | Du 16/11/2026 au 20/11/2026 | Oui | S'inscrire |