--- title: "Test & avis : la certification “Certified Bug Bounty Hunter” de HackTheBox" description: "Certified Bug Bounty Hunter de HackTheBox : mon retour complet sur la formation, l’examen, les vulnérabilités abordées et les conseils pour réussir." url: "https://lonestone.io/blog/review-de-la-certification-certified-bug-bounty-hunter-de-hackthebox" --- [Lonestone](/) ⟩ [Blog](/blog) # Review de la certification “Certified Bug Bounty Hunter” de HackTheBox 4 avril 2023 · 8 min de lecture En 2023, le monde des certifications dans le domaine de la cybersécurité est une jungle, comme l’atteste l’excellent graphique “Security Certification Roadmap” de Paul Jeremy (lien ici : [https://pauljerimy.com/security-certification-roadmap/](https://pauljerimy.com/security-certification-roadmap/)). Nous allons aujourd’hui nous intéresser au pan des tests de sécurité, en particulier la catégorie des tests d’intrusions (_penetration testing_ en anglais, ou _pentest_). ## Une multitude de certifications en sécurité Aujourd’hui, l’_OSCP_, une des certifications d’Offensive Security, est la plus plébiscitée par les pentesters, mais également certaines entreprises, car elle est reconnue comme un gage de confiance pour attester les bases du monde des tests d’intrusion : tests sur des systèmes Active Directory, Web, exploration du réseau etc… Le périmètre est large. Cependant, il existe des certifications bien plus spécialisées. Car le monde technique est large, et chaque pentester développe sa spécialité. Et c’est ici le sujet de l’article, en développant une nouvelle certification, axée exclusivement sur les tests d’applications et apis web. Cette certification, c’est la **Certified Bug Bounty Hunter (CBBH)**, propulsée par l’entreprise HackTheBox. Cette dernière est déjà bien connue pour ses nombreux challenges de sécurité inspirés du monde réel. Elle s’inscrit comme ultime étape d’une formation proposée par cette même entreprise, autour du Bug Bounty. HackTheBox s’est d’ailleurs associée à la plateforme [hackerone.com](http://hackerone.com/) pour construire ce parcours. ![Security Certification Roadmap](/.netlify/images?url=_astro%2Fimage-1.C6acsqeN.png&w=1902&h=911&dpl=69e9deed41371b000857cf89) ## ‍‍Un périmètre de la base du web au rapport d’intrusion Sans rentrer dans les détails, le bug bounty se distingue du test d’intrusion : modèle économique différent, nombreux acteurs. Leur point commun se situe à un endroit : l’évaluation et l’exploitation de vulnérabilités de sites et api webs, dans le but de le signaler aux équipes en charge de la maintenance du site. Les compétences et connaissances requises sont alors identiques : * Compréhension du fonctionnement du web * Maîtrise d’un ou plusieurs langages de programmation web * Connaissance d’une multitude de vulnérabilités web (Cross Site Scripting, Injections SQL, Injection dans les templates lors du SSR etc…) * Reconnaissance et cartographie d’un site web et ses apis * Exploitation manuelle ou à l’aide d’un outil de vulnérabilités * Rédaction d’un rapport présentant les vulnérabilités et risques, ainsi que des recommandations‍ ## Une grande diversité de vulnérabilités couvertes Cette certification, j’ai eu l’occasion de la passer le mois dernier, pour des raisons purement personnelles : valider des connaissances et des compétences acquises. N’ayant que peu de reviews sur l’Internet, j’ai alors décidé de faire mon propre retour sur cette certification. Afin de passer l’examen, il est obligatoire de suivre le parcours de formation de l’academy d’HackTheBox. Celle-ci abordera beaucoup de modules, comme : * Les bases du web : sites web, api, requêtes HTTP, sessions, SOAP, API Rest, CMS…. * Reconnaissance : fuzzing, identification des technos en jeu, identification de process métiers * Attaques côté client : Cross Site Scripting (XSS), Cross Site Request Forgery (CSRF), Local File Inclusion (LFI), Attaques sur les sessions, File Upload… * Attaques côté serveur : Server Side Request Forgery (SSRF), XXE (XML eXternal Entities), Server Side Template Injection (SSTI)… * Fonctionnement d’outils : ffuf (fuzzing), sqlmap (injections sql), XSSHunter (XSS), Hydra/Hashcat (bruteforcing)… * Rédaction d’un rapport de vulnérabilités Ayant été développeur web durant 7 ans, j’ai pu passer tous les modules offrant les bases du web. Ensuite, on peut retrouver des éléments déjà rencontrés dans la vie d’un dév : XSS, injections SQL et autre. Les modules proposés sont très complets : ils commencent de zéro mais poussent assez loin les explications et les exemples. Par exemple, pour XSS, la base sera donnée avec un simple exemple ``, permettant à chacun de comprendre les enjeux de cette vulnérabilité. Puis le module va monter en complexité en détaillant comment on peut exploiter la vulnérabilité et s’adapter / contourner les sécurités mises en place. _Note : cet extrait ne tient pas compte de la sécurité autour des cookies et du cross-domain, c’est surtout pour l’exemple._ ## 7 jours pour exploiter un maximum de failles Pour parler du déroulement de l’examen, je ne pourrais évidement pas dévoiler tous les détails. Cependant, je vais me baser ici sur une compilation de détails rendus publics et d’impressions personnelles. L’examen est accessible directement après l’achat d’un voucher ET après avoir fini le parcours “Bug Bounty Hunter”. A l’aide d’une connexion VPN, vous aurez accès aux différentes applications de l’examen. Vous aurez alors 7 jours pour trouver et exploiter les vulnérabilités dans le but de marquer des points. Un minimum de 80 points sur 100 est requis pour passer le test. De plus, il faut également soumettre un rapport de Bug Bounty, rédigé de manière professionnelle. Pour vous aider, un template sera fourni lors du début de l’examen. Les applications à exploiter sont assez proches du réel, HackTheBox a soigneusement tenté de rendre l’exercice aussi vrai que nature. Côté vulnérabilités, pas de surprise : tout a déjà été vu dans les modules de cours. La seule différence notable est qu’il faudra combiner différentes vulnérabilités pour venir à bout d’une application. On retrouve alors le fameux dicton “_thinking outside the box_”, car il faudra faire preuve de créativité. Cela rend l’examen relativement difficile, en particulier pour les personnes faisant leur premiers pas dans la sécurité offensive. ![Examen sécurité offensive](/.netlify/images?url=_astro%2Fimage-2.JFeu5P-N.png&w=1109&h=167&dpl=69e9deed41371b000857cf89) ## Une bonne préparation est essentielle pour l’examen‍ Passer cette certification nécessite une très bonne préparation, en particulier si vous débutez dans la sécurité offensive. Je recommande principalement deux aspects pour se préparer au mieux :‍ * Vous établir votre propre mindmap de reconnaissances des app et apis web. La cartographie est un point central, qui vous permettra ensuite de trouver des points d’impacts. Une reconnaissance bâclée vous conduira inévitablement à l’échec. Pour constituer votre mindmap, rien ne vaudra mieux que l’entrainement (par exemple sur les machines d’HackTheBox). Le diable se cachant dans les détails c’est souvent ici que vous trouverez de potentielles vulnérabilités. * Lister de votre coté toutes les vulnérabilités que vous aurez appris dans le cours. L’avantage de passer une certification, contrairement à la vie réelle, c’est que vous savez que la réponse est dans une des vulnérabilités vues dans les cours. Même s’il faut savoir les combiner et les exploiter, vous aurez au moins l’étendue des possibilités directement accessible à votre esprit. ‍Pour ma part, je m’étais constitué une mindmap assez massive, mais qui déroule les différents chemins en fonction de ce que je trouve. Les méthodologies y sont également détaillées, me permettant d’avoir une compilation d’informations rapidement accessible. Par ailleurs, elle me sert désormais pour un usage professionnel, une façon de continuer à valoriser cette certification.‍ ![Visuel certification](/.netlify/images?url=_astro%2Fimage-3.CUW8efuG.png&w=1373&h=906&dpl=69e9deed41371b000857cf89) ‍Bien entendu, je ne peux que recommander de s’entraîner également à exploiter les vulnérabilités de différentes manières. Pour ce faire, HackTheBox a sorti “Academy X HTB Labs”, qui permet de trouver des machines en fonction des vulnérabilités. Le site [ippsec.rocks](http://ippsec.rocks/) propose la même chose, mais peut également vous spoiler un peu. Cependant, je tiens à préciser que l’utilisation de ces plateformes doit être raisonnable, et ne doit pas constituer une source unique de préparation à l’examen. L’examen est conçu pour évaluer des compétences et des connaissances acquises au fil du temps, et non pour mesurer la capacité à mémoriser des solutions spécifiques à des problèmes précis. Il est donc important de diversifier les sources d’apprentissage et de s’entraîner à résoudre des problèmes de manière autonome. Je m’étais demandé sur quel niveau de box m’entraîner pour coller à l’examen. De mon expérience, le niveau de la certification pourrait être accolé à des boxs de type medium et hard. ## Personnellement, ce ne fut pas si simple ‍Personnellement, j’ai trouvé que la certification exige un certain niveau en sécurité offensive. Il faut disposer de bonnes méthodes pour bien explorer le site, et explorer les vulnérabilités de façon ingénieuse. J’ai d’ailleurs trouvé la certification bien plus difficile que les exercices proposés dans les modules. ![Visuel certification](/.netlify/images?url=_astro%2Fimage-4.BOd_HYdt.png&w=1139&h=148&dpl=69e9deed41371b000857cf89) Trouver tous les flags m’a bien pris plusieurs jours, au moins 4 sur les 7 jours proposés . Le plus long a été la reconnaissance, et en refaire tout le long des 5 jours d’exploitation (si on conserve 2 jours pour le rapport). Le plus gros risque est de passer du temps sur quelque chose d’inexploitable car on n’a pas remarqué un détail (ce qui m’est arrivé une ou deux fois). Prendre des pauses est important, car une fois la tête dans le guidon c’est compliqué de se débloquer. Et des fois, il vaut mieux s’aérer l’esprit, et la réponse tombe souvent d’un coup après. Pour le rapport, c’est une partie à ne pas négliger. A écrire intégralement en anglais, la rédaction m’a pris à peu près une journée et demi.‍ ## Une certification exigeante et professionnelle Pour conclure, je dirais que cette certification est un très bon moyen de valider des compétences en sécurité offensive web. Un large spectre de vulnérabilités est couvert, et l’exigence de la certification permet d’attester de la mise en œuvre de méthodologies complexes. Un nice-to-have pour tout professionnel de la sécurité offensive. ![Test & avis : la certification “Certified Bug Bounty Hunter” de HackTheBox](/.netlify/images?url=_astro%2Fthumbnail.95-23uUP.png&w=640&h=360&dpl=69e9deed41371b000857cf89) Sommaire [1 / Une multitude de certifications en sécurité](#une-multitude-de-certifications-en-sécurité) [2 / ‍‍Un périmètre de la base du web au rapport d’intrusion](#un-périmètre-de-la-base-du-web-au-rapport-dintrusion) [3 / Une grande diversité de vulnérabilités couvertes](#une-grande-diversité-de-vulnérabilités-couvertes) [4 / 7 jours pour exploiter un maximum de failles](#7-jours-pour-exploiter-un-maximum-de-failles) [5 / Une bonne préparation est essentielle pour l’examen‍](#une-bonne-préparation-est-essentielle-pour-lexamen) [6 / Personnellement, ce ne fut pas si simple](#personnellement-ce-ne-fut-pas-si-simple) [7 / Une certification exigeante et professionnelle](#une-certification-exigeante-et-professionnelle) Sommaire 1 / Une multitude de certifications en sécurité 2 / ‍‍Un périmètre de la base du web au rapport d’intrusion 3 / Une grande diversité de vulnérabilités couvertes 4 / 7 jours pour exploiter un maximum de failles 5 / Une bonne préparation est essentielle pour l’examen‍ 6 / Personnellement, ce ne fut pas si simple 7 / Une certification exigeante et professionnelle Lonestone est une agence qui conçoit et développe des produits web et mobile innovants intégrant de l'IA. Nos experts partagent leurs expériences sur le blog. Contactez-nous pour discuter de vos projets ! [En savoir plus sur Lonestone](/) [Parler à un expert](/contact) ![](/_astro/use-case-corner.3qL77H9h.png) Besoin d'accompagnement ? Nos experts sont disponibles pour discuter de votre projet. [Parler à un expert](/contact) ## On continue la lecture ? [Tous les articles](/blog) [![Optimiser une API GraphQL à l’aide d’un cache serveur](/.netlify/images?url=_astro%2Fthumbnail.D8pVQh7N.jpg&w=640&h=360&dpl=69e9deed41371b000857cf89) Optimiser une API GraphQL à l’aide d’un cache serveur Comment réduire la charge d’une API GraphQL grâce au cache serveur (Redis, Dataloaders, Data Sources) : retour d’expérience et bonnes pratiques. ](/blog/optimiser-une-api-graphql-a-laide-dun-cache-serveur)[![How to build a strongly typed REST API with Nest.js](/.netlify/images?url=_astro%2Fthumbnail.DPWZucwY.webp&w=1920&h=1129&dpl=69e9deed41371b000857cf89) How to build a strongly typed REST API with Nest.js Generate a strongly typed SDK from your Nest.js API to avoid manual endpoint sync and reduce dev-time errors. ](/blog/generating-a-strongly-typed-rest-api-for-nest-js)[![Le Top 10 OWASP des vulnérabilités API – 2023](/.netlify/images?url=_astro%2Fthumbnail.Bd0nqvsv.png&w=1754&h=959&dpl=69e9deed41371b000857cf89) Le Top 10 OWASP des vulnérabilités API – 2023 Les 10 failles de sécurité API à connaître selon l’OWASP 2023, avec exemples et bonnes pratiques pour s’en protéger. ](/blog/owasp-top-10-api-2023) [Tous les articles](/blog) ## Nos guides ### Guide de l'IA générative [ 01\. IA, Machine Learning & Deep Learning ](/ai/deep-learning)[ 02\. LLM (Large Language Model) : définition et fonctionnement ](/ai/llm)[ 03\. RAG + MCP : Architecture pour agents IA ](/ai/rag-mcp)[ 04\. Agents IA : définition et cas d'usage ](/ai/agents-ia)[ 05\. Boostez vos logiciels avec l'intégration de l'IA ](/ai/integration-ia)[ 06\. Meilleurs outils IA pour les entreprises ](/ai/outils-ia) ### Guide pour créer un SaaS IA [ 01\. Construire un SaaS IA rentable : la méthode qui fonctionne ](/creer-saas-ia/roadmap)[ 02\. Comparatif LLM 2026 : quel modèle choisir pour votre SaaS ? ](/creer-saas-ia/comparatif-llm-saas)[ 03\. Héberger un SaaS IA en France : performances, coûts et souveraineté ](/creer-saas-ia/heberger-ia)[ 04\. Framework d’évaluation IA : pourquoi et comment le mettre en place ](/creer-saas-ia/evaluation)[ 05\. MCP (Model Context Protocol) : le standard pour connecter IA et logiciels ](/creer-saas-ia/mcp)[ 06\. Bien choisir entre RAG et ses alternatives : ce que personne ne vous explique vraiment ](/creer-saas-ia/rag)[ 07\. Comment concevoir un copilote IA qui crée de la vraie valeur dans un SaaS ](/creer-saas-ia/copilote-ia)[ 08\. POC IA : comment valider votre idée avant d’investir dans un SaaS IA ](/creer-saas-ia/poc) ### Blog de Lonestone Retrouvez nos derniers articles sur le développement web, l'IA, le product design et les retours d'expérience de nos projets. [Accéder au blog](/blog) Lonestone apporte son expertise product à 200+ grands comptes, PME et startups depuis 11 ans. Avec notre équipe senior et nos méthodes rodées, vous pouvez comptez sur une livraison rapide d'un produit robuste vraiment utile. ## Nos solutions [ 01\. Intégration IA pour éditeurs logiciels ](/solutions/integration-ia-editeurs)[ 02\. Automatisation de process avec IA ](/solutions/automatisation-process-ia)[ 03\. Création de SaaS pour startup ](/solutions/creation-saas)[ 04\. Développement d'outils internes ](/solutions/developpement-outil-metier)[ 05\. Création d'app mobile ](/solutions/creation-app-mobile)[ 06\. Création de site web ](/solutions/creation-site-web)[ 07\. Création de CRM sur mesure ](/solutions/crm-sur-mesure) ## On discute de votre projet ? Échange gratuit et sans engagement, directement avec un expert du sujet. Devis sous 48h. [Demander un devis](/contact) Prendre rdv Contacter l'équipe de Lonestone