Aller au contenu

Guide des vulnérabilités web

Ce guide rassemble, en français, les principales classes de vulnérabilités affectant les applications web : le fonctionnement de chaque faille, les techniques d'exploitation associées et des exemples de code commentés.

L'objectif est double : servir de support de révision structuré et constituer une référence pratique lors d'un test d'intrusion. Chaque chapitre part du principe de la vulnérabilité avant d'entrer dans les techniques offensives, des cas les plus simples aux variantes avancées.

Cadre d'utilisation

Les techniques décrites ici sont destinées à un usage légal : tests d'intrusion autorisés, recherche en sécurité et environnements d'entraînement dédiés. Tester une application sans autorisation explicite est illégal.

Côté serveur

Injection SQLManipulation des requêtes envoyées à la base de données.

Injection de commandesExécution de commandes système via une entrée non filtrée.

SSRFForcer le serveur à émettre des requêtes vers des cibles non prévues.

Path traversalAccès à des fichiers hors du répertoire prévu.

Injection XXEAbus du traitement des entités XML externes.

DésérialisationManipulation d'objets sérialisés pour détourner la logique applicative.

SSTIInjection dans les moteurs de template côté serveur.

Côté client

Cross-site scripting (XSS)Injection de script exécuté dans le navigateur des victimes.

CSRFDéclenchement d'actions à l'insu d'un utilisateur authentifié.

Vulnérabilités DOMFailles introduites par la manipulation du DOM côté client.

ClickjackingDétournement de clics via superposition d'interfaces.

CORSExploitation d'une politique de partage entre origines mal configurée.

Prototype pollutionAltération du prototype des objets JavaScript.

Authentification et logique

AuthentificationFailles dans les mécanismes de connexion et de réinitialisation.

Contrôle d'accèsContournement des restrictions d'accès aux ressources.

OAuth 2.0Vulnérabilités des flux d'autorisation et d'authentification déléguée.

Attaques JWTFalsification de jetons et failles de vérification de signature.

Logique métierAbus des hypothèses implicites d'un processus applicatif.

Race conditionsExploitation de fenêtres de concurrence côté serveur.

Protocole, cache et API

HTTP request smugglingDésynchronisation de l'interprétation des requêtes entre serveurs.

En-tête HostAttaques exploitant le traitement de l'en-tête Host.

Web cache poisoningEmpoisonnement du cache pour servir un contenu malveillant.

Web cache deceptionDétournement du cache pour exposer des données sensibles.

API GraphQLVulnérabilités spécifiques aux API GraphQL.

Test d'APIMéthodologie d'analyse des API REST.

WebSocketsFailles des communications temps réel.

Injection NoSQLInjection dans les bases NoSQL.

Attaques sur les LLMExploitation des intégrations de modèles de langage.

Divulgation d'informationsFuites de données techniques exploitables.