Zeroday Cyber Academy

Pentest

Roadmap pentest web 2025 : parcours offensif complet

Roadmap pentest web : 5 paliers OWASP Top 10 → exploit chains → API modernes → OSWE. Labs PortSwigger, HackTheBox web, bug bounty, outillage Burp Pro.

Naim Aouaichia
15 min de lecture
  • Pentest web
  • Roadmap
  • OWASP
  • OSWE
  • Bug bounty
  • Burp Suite
  • API security

La roadmap pentest web 2025 se décompose en 5 paliers de spécialisation offensive qui s'étalent sur 4 à 7 ans de pratique continue pour atteindre le niveau expert : palier 1 socle (0-12 mois, HTTP / cookies / sessions / OWASP Top 10 maîtrisés), palier 2 exploitation manuelle (12-24 mois, Burp Pro avancé / exploitation sans outil / sqlmap / ffuf), palier 3 chaînes complexes (2-3 ans cumulés, SSRF→RCE, XXE, deserialization, SSTI, prototype pollution), palier 4 API modernes (3-5 ans, GraphQL, JWT algorithm confusion, OAuth2 flows abuse, HTTP request smuggling), palier 5 recherche expert (5+ ans, OSWE, découverte de CVE, bug bounty top-tier, conférences). Cet article détaille chaque palier avec compétences cibles, labs PortSwigger / HackTheBox web-only / bug bounty, outillage Burp Suite Pro + nuclei + ffuf + gitleaks, ordre de certifications (OSCP → OSWE), et points de décision pour les quatre niches rémunératrices 2025 (API modern, cloud-native web, prototype pollution, crypto applicative). Pour la roadmap pentest généraliste multi-vecteurs (web + AD + cloud + red team), voir Roadmap pentest.

1. Vue d'ensemble : les 5 paliers du pentester web

La progression pentest web est verticale après le palier 2 : un pentester web palier 4 passe plus de temps sur une classe de bugs spécifique (auth bypass, desync HTTP, prototype pollution) qu'un généraliste. La spécialisation conditionne le TJM freelance (+100-250 € /j vs généraliste) et l'accès aux bug bounty high-value (primes > 10 000 $).

PalierDurée typiqueCertificationLivrable vérifiableNiche marché
1 — Socle web0-12 mois-PortSwigger 100% Apprentice + 10 HTB web-easyFormation
2 — Exploitation manuelle12-24 moiseJPT → OSCPBurp Pro expert + 30 HTB web-mediumJunior / confirmé
3 — Chaînes complexes2-3 ans(OSCP obtenue)SSRF→RCE + deserialization + SSTI sur cible réelleConfirmé spécialisé
4 — API & modernes3-5 ansOSWEChains OAuth / GraphQL / smuggling livrées en missionSenior web expert
5 — Recherche5+ ansCVE, conférencesTop 500 HackerOne + 3 CVE + talk BHEU / OffensiveConExpert reconnu

2. Palier 1 — Socle web (0-12 mois)

Objectif : comprendre en profondeur le protocole HTTP, les mécanismes de session, la surface d'attaque d'une application web moderne. C'est le palier qui élimine le plus de candidats reconvertis : 50-60 % abandonnent ici faute de rigueur sur les fondamentaux.

2.1 Compétences cibles

DomaineÀ maîtriser (lecture + écriture)
HTTP/1.1 et HTTP/2Headers, méthodes, status codes, encodings, chunked transfer, multipart
Cookies et sessionsSameSite, HttpOnly, Secure, Domain, Path, session fixation, expiration
AuthentificationHTTP Basic, Digest, Bearer, session-based, JWT structure, OAuth2 flows theory
CORS et CSPpreflight OPTIONS, wildcard risks, CSP directives, nonce vs hash
TLS / HTTPShandshake, cert validation, HSTS, downgrade attacks theory
OWASP Top 10 2021Les 10 catégories comprises + 1 exploit pratique par catégorie

2.2 Labs et parcours recommandés

Palier 1 — Parcours 6-12 mois
──────────────────────────────
PortSwigger Web Security Academy (gratuit)         mois 1-4
  ─► 100% modules Apprentice (tous domaines OWASP)
  ─► ~80-100 labs résolus
 
TryHackMe Web Fundamentals + OWASP Top 10 rooms    mois 2-5
  ─► 15-20 rooms ciblées web
 
HackTheBox machines Web (Very Easy + Easy)         mois 4-8
  ─► 15-20 machines à dominante web résolues
 
OWASP Juice Shop (100% challenges niveaux 1-3)     mois 5-7
  ─► application volontairement vulnérable, 100 + challenges
 
Google Gruyere + DVWA + WebGoat                    mois 6-9
  ─► renforcement sur les grands classiques
 
Write-ups publiés sur blog technique (5-10)        mois 8-12

2.3 Outillage minimum palier 1

  • Burp Suite Community : proxy HTTP, repeater, intruder (rate-limité), decoder, comparer. 90 % des fonctionnalités utiles à ce niveau.
  • ffuf ou gobuster : fuzzing répertoires et paramètres.
  • sqlmap : injection SQL automatisée (pour apprendre à lire ses payloads, pas pour dépendre de l'outil).
  • curl + jq : exploration manuelle d'API REST et JSON responses.
  • DevTools navigateur (Chromium et Firefox) : Network tab, Application / Storage, Debugger.

2.4 Signaux de bascule palier 1 → 2

  • Résoudre un lab PortSwigger Practitioner sans assistance en < 45 minutes.
  • Expliquer en 5 minutes la différence concrète entre XSS réfléchie, stockée, DOM-based et aveugle, avec un exemple de payload par type.
  • Lire une réponse HTTP avec cookies Set-Cookie et détecter 3 erreurs de configuration en < 2 minutes.
  • Écrire un script Python de 30-50 lignes qui parse une réponse JSON d'API, extrait un token, réinjecte dans un second endpoint.

3. Palier 2 — Exploitation manuelle & Burp Pro (12-24 mois)

Objectif : passer du framework OWASP Top 10 à l'exploitation sans outil, acquérir Burp Suite Professional (~475 $ /an) et son usage avancé. C'est le palier qui sépare les futurs pentesters web des étudiants cyber.

3.1 Compétences cibles

Ajout au palier 1 :

  • Injection SQL avancée : time-based blind, second-order, error-based dans WAF-ed contexts, NoSQL injection (MongoDB, Cassandra).
  • XSS exploitation poussée : payloads contournant CSP, XSS aveugle avec exfiltration OOB, DOM clobbering, mutation XSS.
  • SSRF basique : blind SSRF via DNS, SSRF vers metadata cloud (AWS IMDSv2, GCP metadata), SSRF filter bypass (DNS rebinding, IPv6).
  • File upload vulnerabilities : bypass extension check, MIME sniffing, double extension, path traversal via filename, ZIP slip.
  • IDOR et broken access control : parcours horizontal et vertical, discovery automatisée via Autorize, Authz.

3.2 Burp Suite Pro — usage avancé

Burp Pro — modules à maîtriser palier 2
────────────────────────────────────────
Proxy                 ─► scoping, match & replace, breakpoints conditionnels
Repeater              ─► usage intensif, diff, cross-request chaining
Intruder              ─► 4 attack types, grep match/extract, processing payloads
Scanner (passive+active) ─► interprétation findings, custom audit items
Sequencer             ─► analyse entropie tokens de session
Decoder / Comparer    ─► chaines encodées multiples, diff binaires
Collaborator          ─► OOB DNS+HTTP pour XSS aveugle, SSRF, deserialization
 
Extensions BApp Store incontournables
──────────────────────────────────────
Autorize              ─► tests IDOR / broken access control automatisés
Logger++              ─► historique complet filtrable
Param Miner           ─► discovery de paramètres cachés
Turbo Intruder        ─► race conditions, high-volume fuzzing
Active Scan++         ─► checks actifs additionnels (SSRF, SSTI)
HTTP Request Smuggler ─► detection + exploit HTTP desync
JWT Editor            ─► manipulation tokens JWT (algorithms, claims)

3.3 Labs palier 2

  • PortSwigger Web Security Academy : 100 % modules Practitioner (objectif : tous les labs résolus sans reprendre les solutions).
  • HackTheBox : web machines Medium (20-30 résolues, notamment « Previse », « Monitors », « Ransom », « Forge », « Noter »).
  • HackTheBox Starting Point web-oriented.
  • Offensive Security PG Practice : web targets.

3.4 Certification cible

  • eJPT en fin de palier 1 / début palier 2 (valide le socle, ~200 €, 3-4 mois prépa).
  • OSCP en fin de palier 2 : ~1 600 $, 6-12 mois de prépa pratique, pass rate 30-40 %. L'OSCP n'est pas purement web mais conditionne l'accès au marché pentester français — indispensable. Voir le détail dans Roadmap pentest généraliste.

4. Palier 3 — Chaînes d'exploitation complexes (2-3 ans cumulés)

Objectif : exploiter des vulnérabilités à chaîne longue (2-5 primitives combinées), typiques des bug bounty high-severity et des missions pentester confirmé.

4.1 Classes de vulnérabilités à maîtriser

ClassePrimitives clésExemple de chaîne réelle
SSRF avancéeBlind SSRF, DNS rebinding, metadata cloudSSRF → IMDSv2 → IAM role → S3 exfiltration
XXEXXE in-band / OOB / blind, SVG, DOCX, SOAPXXE → file read /etc/passwd → SSRF interne
DeserializationPHP, Java (ysoserial), .NET (ViewState), Ruby (Marshal), Python (pickle)Cookie deserialization → RCE sans authentification
SSTIJinja2, Twig, Freemarker, Velocity, Thymeleaf, ERBSSTI sur champ email template → RCE
Prototype pollutionNode.js client & server, lodash, merge libsPrototype pollution → gadget chain → RCE
JWT abusealg confusion, key confusion, kid injection, JKU poisoningJWT RS256 → HS256 avec clé publique → escalade
HTTP request smugglingCL.TE, TE.CL, TE.TE, H2 desync, CRLF injectionSmuggling → auth header forge → admin takeover

4.2 Labs palier 3

  • PortSwigger Academy : modules Expert (prototype pollution, HTTP/2 smuggling, Server-side prototype pollution).
  • HackTheBox : web machines Hard et Insane (15-20 résolues, notamment « BountyHunter », « Schooled », « Retired », « Absolute »).
  • HackTheBox Challenges Web : 30-50 challenges résolus.
  • Root-Me : catégories Web - Serveur et Web - Client (objectif : top 500 ranking).
  • Hack The Box ProLabs : RastaLabs et Cybernetics pour chaînes AD + web combinées.

4.3 Signaux de bascule palier 3 → 4

  • Livrer en mission une chaîne SSRF → RCE ou deserialization → RCE avec rapport 15-30 pages chiffrés CVSS 3.1.
  • Résoudre une PortSwigger Expert lab en < 2h sans aide.
  • Première vulnérabilité public disclosée (CVE assignée même low severity, ou disclosure sur HackerOne / YesWeHack avec bounty ≥ 1 000 €).
  • Écriture d'un exploit Python de 100-300 lignes pour une chaîne custom sur mission.

5. Palier 4 — API modernes et architectures 2025 (3-5 ans)

Le web moderne n'est plus que des applications HTML + JSON. Les missions pentester confirmé 2024-2025 incluent GraphQL, gRPC, WebSockets, OAuth2 / OIDC, mTLS, service mesh. Ce palier verrouille la spécialisation senior.

5.1 Niches techniques 2025

  1. GraphQL offensive : introspection abuse, query depth DoS, nested resolvers auth bypass, batching attacks, SSRF via GraphQL federation.
  2. OAuth2 / OIDC flows abuse : redirect_uri manipulation, PKCE downgrade, implicit flow token leakage, CSRF via state param absence, token replay cross-tenant.
  3. JWT advanced attacks : alg=none, alg confusion RS256→HS256, kid injection, jku / x5u injection, nested JWE attacks, clock skew abuse.
  4. HTTP/2 et HTTP/3 smuggling : H2 request smuggling (Kettle 2021-2024), HTTP/3 QUIC abuse, server-side request split.
  5. mTLS bypass : cert parsing weaknesses, SNI spoofing, cert validation missing on reverse proxy.
  6. API rate limiting & BOLA : OWASP API Top 10 2023, BOLA via object ID enumeration, BFLA via function name tampering, mass assignment.

5.2 Certification cible : OSWE

OSWE (Offensive Security Web Expert, ~1 500 $) est la certification phare du palier 4 :

  • Examen white-box : code source fourni, 48h pour identifier + exploiter 2 chaînes complexes.
  • Compétences validées : lecture de PHP / Java / .NET / Node.js / Python en environnement framework, identification vulnerabilities source-to-sink, écriture d'exploits automatisés.
  • Taux de réussite : 40-50 % au premier essai pour un profil déjà OSCP + 18 mois de pratique web confirmée.
  • Durée prépa : 4-8 mois à 10-15 h / semaine, sur le matériel AWAE + PortSwigger Academy Expert + projets personnels.

5.3 Labs palier 4

  • OffSec AWAE lab : inclus dans l'inscription OSWE.
  • PortSwigger Academy : 100 % modules Expert (en tant que révision).
  • HackTheBox : challenges Crypto + Web de difficulté Hard+, ProLabs complètes (Dante, Offshore, APTLabs).
  • Bug bounty production : YesWeHack, HackerOne, Intigriti. Focus sur programmes API-heavy (banques, fintechs, SaaS B2B).

6. Palier 5 — Recherche et expertise reconnue (5+ ans)

Le palier 5 est non-mécanique. Il exige un pivot :

  • Piste recherche académique/industrielle : 2-5 CVE high/critical par an assignées via MITRE CNA, participation conférences (BHEU, OffensiveCon, HEXACON, HITB, USENIX Security).
  • Piste freelance expert : TJM 1 100-1 400 € (source Free-Work 2024, Collectif Freelance Cybersec 2024), 3-6 clients récurrents grands comptes, spécialisation 1-2 niches parmi celles du palier 4.
  • Piste formateur : instructor officiel OffSec, SANS, BlackHat Training, ou école cyber réputée. Complément de revenus + réputation industrie.

6.1 Livrables du palier 5

Palier 5 — Livrables différenciants
────────────────────────────────────
3-5 CVE assignées high/critical sur stacks réelles (pas uniquement variantes connues)
1-3 talks conférences internationales (BHEU, OffensiveCon, HITB, USENIX Security)
Outils offensifs maintenus publiquement ≥ 500 stars GitHub
  ex: Burp extension custom, nuclei template pack, fuzzer HTTP/2 maison
Bug bounty top 200 sur HackerOne ou YesWeHack (classement sur 12 mois)
1-2 papers ou articles de recherche sur nouvelles classes de vulnérabilités

7. Bug bounty comme accélérateur CV palier 2-4

Le bug bounty est le deuxième accélérateur après HackTheBox pour un profil pentester web qui cherche à se différencier. Règles d'entrée :

ProgrammeAccessibilité palier 2Bounty moyen highQualité pour CV
HackerOne public programsOuvert500-5 000 $Très forte (signal international)
YesWeHackOuvert300-3 000 €Forte (ancrage France)
IntigritiOuvert300-3 000 €Forte (ancrage EU)
BugcrowdOuvert300-4 000 $Moyenne (US-centric)
HackenProofOuvert200-2 000 $Faible (crypto/web3 niche)
Programmes privés (invite-only)Palier 3+1 000-50 000 $Très forte + primes élevées

8. Stack outils pentester web 2025

Résumé exécutable par palier (au-delà de Burp Pro transverse) :

PalierOutils obligatoires
1Burp Community, ffuf, gobuster, sqlmap (en lecture), curl, jq, DevTools
2Burp Pro + extensions (Autorize, Param Miner, Turbo Intruder, Logger++), nuclei, httpx, waybackurls, gau
3ysoserial + ysoserial.net, SSTImap, NoSQLMap, GraphQL Voyager, jwt_tool, param discovery custom scripts
4mitmproxy + scripting Python, Interactsh self-hosted, frida / objection (mobile hybride), Postman / Insomnia pour API complex, gRPCurl
5Fuzzers HTTP/2 custom (adaptés James Kettle research), scripts AFL++ sur backends server-side, toolchain analyse source custom (Semgrep custom rules + CodeQL)

9. Ordre optimal des certifications web pentest

Ordre certifications pentester web — 2024-2025
───────────────────────────────────────────────
Mois 0-12   (aucune)                    palier 1 socle
Mois 12-16   eJPT (~200 €)              passage marché FR
Mois 16-24   PNPT (~400 $)              option intermédiaire AD+web
Mois 18-30   OSCP (~1 600 $)            accès marché pentester CDI
Mois 36-48   OSWE (~1 500 $)            spécialisation web expert
Mois 60+     CVE publiques + confs      niveau 5 reconnu expert

Certifications à ne pas prioriser pour un pentester web pur :

  • CEH (Certified Ethical Hacker) — reputation faible côté technique, utile uniquement grilles DGA/DGAC.
  • GPEN — reconnue aux US, rare en offres pentester FR.
  • CISSP — pertinente RSSI / architecte, pas pentester offensif.

Points clés à retenir

  • 5 paliers pentester web : socle (0-12 m), exploitation manuelle + OSCP (12-24 m), chaînes complexes (2-3 ans), API modernes + OSWE (3-5 ans), recherche (5+ ans).
  • Certifications dans l'ordre : eJPT → PNPT → OSCP → OSWE. Ne pas passer OSWE avant d'avoir signé un premier poste pentester.
  • Niches rémunératrices 2025 : API security moderne (GraphQL, OAuth2), cloud-native web (SSRF metadata), prototype pollution, HTTP desync, crypto applicative.
  • Labs progressifs : PortSwigger Academy 100 % → HackTheBox web Easy→Insane (60-100 machines web) → bug bounty.
  • Bug bounty : accélérateur CV +6-12 mois sur le premier poste, pas revenu principal avant palier 3-4.
  • Savoir coder : obligatoire au palier 3+. Un pentester web qui ne sait pas lire / écrire du code en Python et un framework backend plafonne durablement.

Pour la vision multi-vecteurs généraliste, voir Roadmap pentest. Pour la version défensive du métier web (AppSec Engineer, SDLC, prévention), voir Roadmap AppSec Engineer. Pour l'entrée marché opérationnelle, Les étapes pour devenir pentester.

Questions fréquentes

  • Quelle différence entre un pentester web et un AppSec Engineer ?
    Un pentester web offensif exploite les vulnérabilités d'applications web déployées en externe ou interne, livre un rapport avec chaînes d'exploitation reproductibles et preuves d'impact. Un AppSec Engineer défensif intègre la sécurité dans le cycle de développement (threat modeling, SAST, revue de code, mentorat des devs). Les deux métiers partagent 40-50 % des compétences techniques (OWASP Top 10, API security, crypto applicative) mais divergent sur la sortie : exploit + rapport offensif d'un côté, prévention + SDLC de l'autre. Les salaires sont proches (écart < 5 % en France 2024-2025), la bascule de l'un à l'autre est fluide.
  • Combien de temps pour devenir un pentester web spécialiste à partir de zéro ?
    Entre 24 et 36 mois de pratique continue (15-20h/semaine) pour atteindre le palier 3 confirmé web spécialiste : 6-12 mois pour le palier 1 socle HTTP + OWASP Top 10, 12-18 mois supplémentaires pour le palier 2 exploitation manuelle + Burp Pro, 12-18 mois pour le palier 3 chaînes complexes (SSRF→RCE, deserialization, SSTI). Le palier 4 API modernes (GraphQL, JWT, OAuth2 flows abuse) et le palier 5 recherche / OSWE demandent 24-36 mois additionnels. Un profil dev backend reconverti compresse les paliers 1-2 à 6-9 mois grâce au socle HTTP déjà solide.
  • OSWE ou OSCP pour se spécialiser sur le web pentest ?
    OSCP reste la certification d'entrée marché indispensable (70-80 % des offres pentester junior la mentionnent). OSWE (Offensive Security Web Expert, ~1 500 $) arrive en spécialisation à partir de 3-5 ans d'expérience : elle valide la capacité à lire du code source d'application web et à identifier + exploiter des vulnérabilités complexes (auth bypass, deserialization, SSTI) en 48h d'examen white-box. Ordre recommandé : eJPT → PNPT → OSCP (première embauche) → OSWE (spécialisation palier 3-4). Passer OSWE avant d'avoir signé un premier poste est une erreur classique — le marché valorise l'OSCP + expérience terrain, pas l'OSWE seule.
  • Le bug bounty est-il un bon accélérateur vers un poste pentester web ?
    Oui, un des trois meilleurs accélérateurs avec HackTheBox et les contributions open source. Un profil qui classe top 200 sur HackerOne ou YesWeHack avec 3-5 vulnérabilités high/critical documentées publiquement accélère le premier poste de 6-12 mois. Mais le bug bounty comme revenu principal est hostile aux juniors : < 10 % des bounty hunters génèrent un revenu supérieur au SMIC la première année (source : HackerOne annual report 2024). Utiliser le bug bounty comme levier CV et apprentissage pratique, pas comme substitut à un CDI pentester les 2-3 premières années.
  • Quels sont les domaines web les plus rémunérateurs en pentest en 2025 ?
    Quatre niches 2024-2025 en ordre de valeur salariale et bounty : 1) API security moderne (GraphQL abuse, OAuth2 flows, mTLS bypass) — rare, top prix freelance 900-1 200 € TJM. 2) Cloud-native web security (SSRF vers metadata AWS/Azure, IMDSv2 bypass) — forte demande scale-up. 3) Prototype pollution chains et HTTP request smuggling — haute visibilité conférences. 4) Crypto applicative (JWT algorithm confusion, TLS downgrade, signature verification bypass). Rester sur OWASP Top 10 pur sans ces niches plafonne 15-20 % sous un spécialiste verticalisé.
  • Faut-il savoir développer pour être un pentester web de haut niveau ?
    Oui, au-delà du palier 2. Un pentester web confirmé lit du JavaScript, PHP, Python (Django/Flask), Java (Spring), Go, TypeScript en environnement framework (Next.js, NestJS). À partir du palier 3, il écrit des exploits custom en Python et modifie des PoC publics. Au palier 5 (OSWE, recherche), il analyse des binaires compilés et des frameworks complexes (Java bytecode pour deserialization, .NET pour ViewState abuse). Les profils qui refusent d'apprendre à coder plafonnent en palier 2 — le marché 2025 n'a plus besoin de pentesters qui pilotent uniquement Burp sur le happy path.
Découvrir le bootcamp DevSecOps

Écrit par

Naim Aouaichia

Expert cybersécurité et fondateur de Zeroday Cyber Academy

Expert cybersécurité avec un master spécialisé et un parcours hybride : développement, DevOps, DevSecOps, SOC, GRC. Fondateur de Hash24Security et Zeroday Cyber Academy. Formateur et créateur de contenu technique sur la cybersécurité appliquée, la sécurité des LLM et le DevSecOps.

À lire également