Comment enseigner la Sécurité Web (OWASP)
OWASP Top 10 comme fil conducteur, labs progressifs
Pourquoi enseigner ce domaine
Le web est le premier vecteur d'attaque. Les applications web concentrent la majorité des vulnérabilités exploitées. Enseigner la sécurité web en suivant le Top 10 OWASP donne aux étudiants un référentiel universellement reconnu et des compétences directement applicables au pentest web, à l'audit ou au développement sécurisé.
Prérequis étudiants
- ✓HTML, CSS, JavaScript (bases)
- ✓HTTP/HTTPS (requêtes, headers)
- ✓SQL (requêtes de base)
- ✓Notions de programmation serveur (PHP, Python ou Node.js)
Progression pédagogique recommandée
Architecture web et surface d'attaque
Comprendre le fonctionnement d'une application web, les points d'injection et la surface d'attaque
Injection (SQL, NoSQL, LDAP, OS)
Exploiter et corriger les différents types d'injection
Authentification et gestion de session
Comprendre les failles d'authentification, les attaques sur les sessions et les protections
XSS, CSRF et vulnérabilités côté client
Exploiter et corriger les vulnérabilités côté client
Vulnérabilités avancées (SSRF, IDOR, désérialisation)
Comprendre les vulnérabilités logiques et les attaques avancées
Secure coding et WAF
Écrire du code sécurisé et configurer des protections applicatives
Erreurs courantes des formateurs
Enseigner les vulnérabilités web sans faire corriger le code : les étudiants doivent attaquer ET défendre
Se limiter aux injections SQL classiques sans aborder les variantes modernes (blind, time-based, NoSQL)
Utiliser uniquement des outils automatiques (scanner) sans comprendre les requêtes manuelles
TP et exercices concrets
Marathon OWASP sur Juice Shop
Résoudre 15 challenges couvrant les 10 risques du Top 10 OWASP
Code review sécurité
Identifier 10 vulnérabilités dans du code source et proposer les correctifs
Outils et environnement de lab
Comment évaluer les étudiants
Pentest web pratique : l'étudiant audite une application web de lab et produit un rapport avec les vulnérabilités trouvées, les preuves d'exploitation et les recommandations de correction priorisées.
Questions fréquentes
Comment structurer un cours de securite-web ?
Un cours de securite-web se structure en 6 blocs progressifs : Architecture web et surface d'attaque, Injection (SQL, NoSQL, LDAP, OS), Authentification et gestion de session, XSS, CSRF et vulnérabilités côté client, Vulnérabilités avancées (SSRF, IDOR, désérialisation), Secure coding et WAF. Chaque bloc doit combiner théorie et pratique avec des exercices concrets.
Quels outils utiliser pour enseigner le securite-web ?
Les outils recommandés incluent : Burp Suite, OWASP ZAP, Juice Shop, DVWA, sqlmap, ffuf. Privilégiez les outils open source accessibles aux étudiants.
Quelles erreurs éviter en enseignant le securite-web ?
Enseigner les vulnérabilités web sans faire corriger le code : les étudiants doivent attaquer ET défendre