Accueil/ Projets/ Pentest Web
🔐
En cours
Cybersécurité

Pentest Web –
Bug Bounty

Activité de bug bounty sur des programmes privés via HackerOne et Intigriti. Analyse de vulnérabilités web selon le référentiel OWASP, scripting d'automatisation et rédaction de rapports techniques avec preuves de concept.

Burp Suite OWASP Top 10 Python Bash Nmap XSS SQLi
Type
Freelance
Plateformes
HackerOne · Intigriti
Période
2024 – 2025
Statut
● En cours
// Méthodologie

Schéma de méthodologie

Méthodologie de Pentest Web (Bug Bounty) – Approche OWASP Testing Guide

Méthodologie OWASP Testing Guide : Reconnaissance → Analyse de la surface d'attaque → Exploitation → Rapport PoC

// Processus

Méthodologie

Approche structurée basée sur l'OWASP Testing Guide pour l'identification et l'exploitation des vulnérabilités web.

01
Reconnaissance (Recon)

Collecte passive et active d'informations : sous-domaines (subfinder, amass), technologies (Wappalyzer), endpoints (waybackurls, gau), scan de ports (Nmap). Scripts Python/Bash d'automatisation.

02
Analyse de la surface d'attaque

Cartographie des fonctionnalités exposées, identification des points d'entrée (formulaires, API, paramètres), revue manuelle des comportements applicatifs.

03
Exploitation des vulnérabilités

Tests manuels et semi-automatisés avec Burp Suite : injections SQL, XSS (reflected, stored, DOM), IDOR, problèmes d'authentification/autorisation, mauvaises configurations CORS.

04
Rédaction du rapport PoC

Documentation détaillée incluant : description de la vulnérabilité, étapes de reproduction, impact potentiel, captures d'écran/vidéos, et recommandations de correction conformes aux standards.

// Bilan

Compétences développées

Vulnérabilités maîtrisées
XSS (reflected/stored) SQL Injection IDOR Auth Bypass CORS Misconfiguration
Outils
Burp Suite Nmap Ffuf Subfinder Python (scripts perso)
Livrables
Rapports PoC détaillés Scripts recon automatisés Reproductibilité