Formation pentest API REST et GraphQL

API · REST · GraphQL · OWASP

Pentest API REST / GraphQL

Deux jours pour apprendre à tester une API comme un attaquant : compréhension métier, auth, contrôles d'accès, objets exposés, injections, GraphQL, abuse cases et restitution exploitable par les développeurs.

Session et tarif

Format : 2 jours (14 heures), présentiel ou distanciel, VM fournie.

Tarif inter-entreprises : 1 490 € HT par participant.

Tarif intra-entreprise : à partir de 4 200 € HT selon contexte, effectif et adaptation aux API internes.

Financement : prise en charge OPCO possible sous réserve d'acceptation, organisme certifié Qualiopi.

Objectifs pédagogiques

  • Cartographier une API REST ou GraphQL et ses flux sensibles.
  • Tester authentification, autorisation, IDOR/BOLA et logique métier.
  • Identifier injections, exposition excessive de données et défauts de rate limit.
  • Construire des cas de test OWASP API Security Top 10 reproductibles.
  • Rédiger un rapport exploitable par une équipe backend.

Public et prérequis

Public : développeurs backend, pentesteurs juniors/intermédiaires, DevSecOps, QA sécurité, tech leads.

Prérequis : bases HTTP, JSON, authentification Web, ligne de commande. Notions GraphQL utiles mais non obligatoires.

Programme

  1. Reconnaissance API : OpenAPI, Postman, proxys, graphes de routes, modèles de données.
  2. Authentification : JWT, sessions, OAuth/OIDC, erreurs de validation et de contexte.
  3. BOLA/IDOR et contrôles d'accès objets : méthodes de test, fuzzing ciblé, impact métier.
  4. Injections et parsing : SQL/NoSQL, SSRF via API, upload, mass assignment.
  5. GraphQL : introspection, queries profondes, autorisations par champ, batching abusif.
  6. Abus métier : rate limit, race conditions, workflows multi-rôles, état incohérent.
  7. Reporting : PoC, CVSS, priorisation et recommandations backend.

Modalités Qualiopi

Durée
2 jours (14 heures).
Modalités
Présentiel ou distanciel. VM ou environnement Docker fourni, exercices corrigés.
Évaluation
Exercices pratiques, flags de validation, quiz final et restitution courte d'un finding.
Supports
Support de cours, checklist OWASP API, collection de requêtes, attestation de fin de formation.
Modalités d'accès
Inscription via le formulaire ; prévoir environ 30 jours pour financement OPCO.
Accessibilité PSH
Formation adaptable aux personnes en situation de handicap. Nous contacter en amont.
Financement
Organisme certifié Qualiopi ; prise en charge OPCO possible sous réserve d'acceptation.
Satisfaction
Questionnaire à chaud ; taux publié dès volume représentatif.
Réserver une session Lire l'article OWASP API

← Toutes les formations