1. Apprendre l'HTML et le CSS → Lien
2. Apprendre le Javascript → Lien
3. Apprendre le PHP → Lien - Lien - Lien
4. Savoir à quoi sert le fichier robots.txt et en quoi celui-ci peut être utile dans la collecte d'information → Lien - Lien
5. Comprendre comment fonctionne le vol de sessions → Lien
6. Liste numérotéeApprendre à éxploiter les XSS, persistantes et et non persistantes → Lien - Lien - Lien - Lien - Lien
7. Apprendre à exploiter les CSRF → Lien - Lien
8. Apprendre à éxploiter un Cross Site Tracing → Lien - Lien
9. Apprendre comment fonctionne le protocole HTTP (utile pour plein de chose) → Lien
10. Apprendre à exploiter les Command Injection (rare mais à connaitre) → Lien
11. Apprendre à exploiter les HTTP Response Splitting → Lien
12. Apprendre à exploiter les HTTP Header Injection → Lien
13. Apprendre à exploiter les HTTP HEAD Trick dans PHP → Lien
14. Apprendre à bypasser les .htaccess (généralement outdated mais bon à savoir) → Lien
15. Apprendre à provoquer des Full Path Disclosure → Lien
16. Apprendre à éxploiter les Remote et Local File Include → Lien - Lien - Lien - Lien - Lien - Lien
17. Apprendre à exploiter les failles Upload → Lien
18. Apprendre le SQL → Lien - Lien
19. Apprendre à éxploiter les injections SQL → Lien - Lien - Lien - Lien - Lien - Lien
20. Apprendre à bypasser les filtres dans le cadre d'injections SQL → Lien - Lien - Lien - Lien - Lien
21. Apprendre à exploiter les injections SQL faisant intervenir des fichiers → Lien - Lien
22. Apprendre un langage de Script (python, perl, ruby) afin d’exploiter des “Blind SQL Injection” → Lien - Lien - Lien - Lien
23. Apprendre à exploiter les “Total Blind SQL Injection” basé sur le temps → Lien
24. Apprendre à exploiter les “NoSQL/SSJS Injection” basé sur le temps → Lien
25. Apprendre à reconnaître les différents types de “hash” (MD5, SHA…), savoir dans quel cadre ils sont utilisés, et comment leurs trouver une collision. →Lien - Lien - Lien
26. Apprendre à exploiter les “Null Byte Injection” dans preg_replace() → Lien
27. Apprendre à exploiter les failles unserialize de PHP → Lien

The Web Application Hacker's Handbook /!\ Edition 3 en cours

1. Créer un script PHP, qui appelé depuis une XSS permet de récupérer le cookie de session du client, et de le stocker dans un fichier ou une BDD (Prérequis : 1 à 6)
2. Faire les épreuves “Failles Web” de Zenk Security Lien - Lien
3. S’entraîner sur différents CTF Lien - Lien - Lien - Lien - Lien

1. Web Application Attack and Audit (w3af) Lien
2. Burp Suite Lien - Lien
3. Arachni Lien

1. Éditeur d'Headers HTTP avec Firefox : Live HTTP Headers - Tamper Data - HackBar
2. Débogueur et éditeur HTML, CSS et JS :
   1. Firefox : Firebug
   2. Opera : Ctrl+Shift+I
   3. Google Chrome : Ctrl+Shift+I
3. Création, édition de cookie :
   1. Firefox :Firecookie - Cookie Monster
   2. Google Chrome : Edit This Cookie
4. Injection SQL : sqlmap

1. XSS Cheat Sheet
2. UTF-7 XSS Cheat Sheet
3. MySQL SQL Injection

1. PHP : Comparaison en PHP
2. Google Chrome : Cache DNS, Sockets ouvertes, Header HTTP et autres : chrome://net-internals/ (URL à coller dans la barre de navigation)