Mode apprentissage
Le Mode apprentissage fournit des scénarios d'attaque interactifs pas-à-pas dans un environnement de navigateur simulé. Parcourez des chaînes d'attaques réelles pour comprendre comment les vulnérabilités sont exploitées et comment les empêcher.
Comment ça fonctionne
Le Mode apprentissage utilise une interface guidée à écran partagé où vous suivez un scénario d'attaque interactif :
Panneau de gauche — Guide de scénario
Instructions pas-à-pas, contexte du scénario et un narrateur qui vous guide à travers toute la chaîne d'attaque. Chaque étape vous dit exactement quoi faire.
Panneau de droite — Environnement simulé
Un navigateur, un appareil mobile ou un proxy entièrement interactif simulé où vous effectuez des actions — cliquer sur des boutons, remplir des formulaires et observer les réponses en temps réel.
Interface du Mode apprentissage
Voici à quoi ressemble le mode apprentissage à écran partagé pendant un scénario :
Changez id dans l'URL de /profile/1 à /profile/2. Notez que l'application sert les données du deuxième utilisateur sans vérifier la propriété.
params.id comme source de vérité au lieu de vérifier la session.Structure du scénario
Chaque scénario suit un modèle cohérent en cinq étapes qui reflète les évaluations de sécurité réelles :
Environnements simulés
Le Mode apprentissage utilise trois types de simulation selon la catégorie de vulnérabilité :
| Environnement | Utilisé pour | Description |
|---|---|---|
| SimBrowser | Vulnérabilités web | Une simulation de navigateur web entièrement interactive avec barre d'URL, navigation, formulaires et réponses dynamiques. Utilisée pour XSS, CSRF, SQL Injection et autres attaques web. |
| SimMobilePhone | Vulnérabilités mobiles | Simulation d'appareil iOS et Android avec éléments d'interface natifs, barre d'état et interactions tactiles. Utilisée pour le stockage non sécurisé, l'injection WebView et les scénarios de certificate pinning. |
| SimWebProxy | Vulnérabilités API | Proxy de requête/réponse HTTP qui affiche les appels API bruts, les en-têtes et les charges utiles. Utilisé pour BOLA, mass assignment, broken authentication et autres scénarios de sécurité API. |
Suivi de la progression
Chaque scénario suit votre progression pour que vous puissiez reprendre exactement là où vous vous êtes arrêté :
| Métrique | Description |
|---|---|
| Étape actuelle / Total des étapes | Affiche votre position dans le scénario — par exemple « Étape 8 sur 14 » |
| Statut de complétion | in_progress ou completed |
| Prise en charge de la reprise | Vous pouvez fermer un scénario et revenir plus tard — il reprend depuis votre dernière étape |
Progression des scénarios
Votre liste de scénarios affiche la progression actuelle en un coup d'œil :
Quand un scénario guidé enseigne ce qu'un challenge de revue de code ne peut pas
Un challenge de revue de code dans Mode pratique vous donne un extrait autonome. C'est une représentation juste de la façon dont les vulnérabilités apparaissent sur la ligne, mais la plupart des vraies vulnérabilités ne sont pas sur une seule ligne. Elles vivent à travers les fichiers, à travers les services ou à travers la frontière entre client et serveur. IDOR est l'exemple canonique : le mauvais code n'est pas la requête de base de données, c'est la vérification d'autorisation manquante trois couches plus haut dans la stack. Le Mode apprentissage est le format qui peut vous montrer cet écart, car il place toute l'application devant vous.
Il en va de même pour toute vulnérabilité dont l'exploitation dépend de l'état de session, de flux de requêtes multi-étapes ou de timing contrôlé par l'attaquant. Le XSS stocké ne compte qu'une fois que la charge utile voyage d'un utilisateur à un autre. Le mass assignment ne compte que lorsque la couche modèle fait confiance à des clés de corps de requête qu'elle n'aurait jamais dû exposer. Un extrait ne peut pas montrer cette chaîne. Un scénario le peut, parce que vous vous connectez, effectuez des actions, observez des réponses et regardez une vulnérabilité se transformer en violation en temps réel. La structure de scénario en cinq étapes ci-dessus est conçue exactement autour de cet arc.
Comment utiliser le Mode apprentissage si vous êtes déjà senior
Les développeurs seniors et les ingénieurs sécurité sautent parfois le Mode apprentissage parce que le narrateur et les instructions pas-à-pas semblent lents. C'est juste pour les classes de vulnérabilités que vous avez personnellement exploitées des dizaines de fois. Le bon usage du Mode apprentissage pour les apprenants seniors est ciblé, non exhaustif. Survolez l'introduction, survolez la Découverte, et ralentissez à l'Exploitation seulement quand la surface d'attaque est inconnue. Un ingénieur backend qui n'a jamais écrit de code iOS apprendra plus d'un seul scénario mobile de stockage non sécurisé que de vingt challenges de Pratique dans la même catégorie, car la partie inconnue est la plateforme, non le concept.
L'autre cas d'usage senior consiste à combler les lacunes linguistiques. Si vous avez rejoint une équipe utilisant une stack que vous ne connaissez pas bien, les scénarios d'apprentissage dans cette stack font office de visite rapide de la forme d'application et de la surface d'attaque que vous allez relire. Combinez cela avec une Pratique alignée sur la stack depuis Préférences technologiques pour monter en compétence sur une nouvelle base de code plus rapidement qu'en lisant seulement la documentation.
Les cours personnalisés regroupent Apprentissage et Pratique
Les administrateurs d'organisation peuvent construire des séquences nommées qui mélangent scénarios d'apprentissage et sujets de pratique dans un parcours unique curaté — voir Cours personnalisés pour le flux de construction. Quand un cours personnalisé vous est attribué, vous le consommez à /learn/custom/<courseId> comme s'il s'agissait d'un cours intégré, et les éléments apparaissent dans l'ordre défini par l'administrateur. Les éléments de pratique notent et récompensent toujours l'XP comme dans le Mode pratique ; les éléments d'apprentissage écrivent toujours la progression par scénario comme ici.