Pentest Web depuis Zero: Construire un Lab Sur avec DVWA, Juice Shop et Burp Suite

Certains lancent Burp Suite contre le premier site qui sort sur Google et se prennent deja pour des pentesters. C'est un delit dans plus de trente pays, dont la France via l'article 323-1 du Code penal. La seule voie sensee est de monter ton propre laboratoire, isole et rempli de cibles legalement vulnerables, avant de toucher au moindre systeme reel. Dans ce guide, l'equipe Basilisk construit un environnement reproductible sur une machine de 16GB de RAM, avec DVWA, OWASP Juice Shop et Burp Suite Community comme trio de depart. Tout tourne sur un reseau host-only VirtualBox, sans un seul bit qui fuit vers l'exterieur.

Commence par la couche d'isolation, car c'est elle qui separe recherche et incident. Cree une VM Kali Linux 2026.1 avec deux adaptateurs: un NAT desactivable pour les mises a jour et un host-only sur la plage 192.168.56.0/24. Les machines cibles (une Ubuntu 22.04 avec DVWA dans Docker et une autre Ubuntu avec Juice Shop sur le port 3000) restent UNIQUEMENT sur le host-only. Supprime toute route par defaut avec `ip route del default`. Le meme principe est detaille dans Pivoting avec Chisel et Ligolo-ng : Reseaux Segmentes en Lab de Pentest quand tu commenceras a segmenter des sous-reseaux. Les snapshots avant chaque session t'epargneront des heures de reinstallation.

Lance DVWA avec `docker run --rm -it -p 80:80 vulnerables/web-dvwa` et regle le niveau de securite sur low au premier contact. L'objectif n'est pas de terminer tous les modules le jour un, mais de comprendre le cycle: observer la requete dans Burp, modifier un parametre, observer la reponse, ecrire un payload, recommencer. Le module SQL Injection de DVWA est le classique qui debloque le raisonnement, mais compare-le avec la couverture approfondie de SQL Injection en Pratique: Exploiter, Detecter et Mitiger dans un Lab Controle quand ton premier `' OR 1=1-- -` fonctionne. Meme logique pour le XSS: bricole sur DVWA puis approfondis avec XSS Moderne: DOM, Stored et Reflected avec Exemples Reels en Environnement de Test.

Juice Shop est un saut brutal de realisme. C'est une SPA Angular avec plus de 100 defis, un scoreboard cache, un JWT mal valide et des endpoints REST blindes d'IDOR. Lance-le avec `docker run --rm -p 3000:3000 bkimminich/juice-shop` et configure Burp Suite Community comme proxy sur 127.0.0.1:8080. Importe le certificat CA de Burp dans le Firefox dedie du Kali (JAMAIS dans ton navigateur personnel) pour intercepter le TLS. Pour etendre vers les APIs, Pentest APIs REST et GraphQL : Checklist Technique pour Bug Bounty Legal couvre le flux GraphQL que Juice Shop expose sur `/api`, et SSRF Demystifie: Exploiter Cloud Metadata dans un Lab AWS Local complete sur les defis SSRF caches dans les niveaux avances.

Configure Burp avec un scope agressivement restreint. Sous Target > Scope, ajoute uniquement `192.168.56.0/24` et coche l'option pour bloquer le trafic out-of-scope. Ce simple clic evite le cauchemar classique du stagiaire qui a laisse Intruder tourner contre un CDN. Cree un Project File par cible (`dvwa.burp`, `juiceshop.burp`) pour ne pas melanger les findings. Active Logger++ depuis le BApp Store pour une piste d'audit complete et installe Param Miner pour decouvrir les headers caches. Toute personne en equipe doit lire OPSEC pour Chercheurs en Securite: Modele de Menace Personnel avant de coller la moindre capture dans un chat public, meme apparemment anodine.

Documente chaque exploit avec trois artefacts: requete brute, payload exact et comportement attendu vs observe. Utilise un coffre Obsidian dedie au lab, avec des tags par OWASP Top 10. Quand tu decouvres que Juice Shop a un upload d'avatar mal filtre, redige le write-up avant de courir au defi suivant; cette discipline separe l'amateur du professionnel, et le sujet est traite sans detour dans Explorer les Vulnerabilites d Upload de Fichiers sans Enfreindre la Loi. Garde des sauvegardes chiffrees du coffre, car ton carnet d'exploits vaut de l'or et devient un risque des qu'il fuite.

Avant de fermer la session, eteins les VMs avec `VBoxManage controlvm poweroff` et revoque le NAT temporaire. Reviens au snapshot propre si tu as installe quoi que ce soit d'experimental, surtout les extensions Burp tierces, rarement auditees. Le takeaway concret: traite ton lab comme un petit reacteur nucleaire, avec journal d'operations, reseaux segregues et snapshots obligatoires. Une fois a l'aise sur DVWA et Juice Shop, passe a HackTheBox, TryHackMe ou des programmes de bug bounty avec un scope ecrit. Pratiquer sans scope n'est pas du pentest, c'est un delit puni jusqu'a cinq ans de prison. La discipline du lab est ce qui te garde du bon cote de la ligne.