Les meilleures chaînes YouTube sécurité web et appsec en 2026

Il y a une différence entre apprendre à chasser et apprendre comment les applis web cassent. Le premier est un business : recon, scope, doublons, captures d'écran de paiement. Le second est un métier : comprendre pourquoi un parseur fait confiance au mauvais octet, pourquoi une redirection devient une SSRF, pourquoi deux endpoints ne sont pas d'accord sur qui vous êtes. Cet article parle de la seconde chose. Pour le versant bounty, on a écrit séparément les meilleures chaînes YouTube de bug bounty, et c'est une liste réellement différente, avec un autre objectif.

Donc ici c'est l'appsec, pas le labeur. Les classes de vulnérabilités. L'OWASP Top 10 comme carte de départ, pas comme ligne d'arrivée. La relecture de code source, le request smuggling, la forme d'un gadget de désérialisation. Classé, tranché, avec les réserves là où elles doivent être.

Les chaînes qui rendent le mécanisme limpide

PwnFunction est la première que je recommande, et de loin. Ce qu'il fait, c'est prendre une classe de vulnérabilité et animer le flux de contrôle réel, le chemin de la donnée, l'instant où la frontière de confiance cède. Les vidéos sur le XSS sont l'explication de référence. Celle sur la SSRF a enfin rendu concrète la question du "mais pourquoi le serveur va chercher ça" pour la moitié des juniors avec qui j'ai bossé. Prototype pollution, CSRF, tout y passe. On regarde, et le bug cesse d'être un payload qu'on récite pour devenir une chose qu'on comprend.

La réserve honnête : il publie rarement. Ce n'est pas une chaîne à laquelle on s'abonne pour un flux régulier. Les vidéos coûtent cher à produire, et ça se voit autant dans la qualité que dans les trous entre deux. Traitez le back catalogue comme un manuel. Regardez chaque vidéo deux fois.

The XSS Rat joue l'énergie inverse, et c'est utile précisément pour ça. La quantité plutôt que le fini. Une masse énorme de contenu pratique de test web, le XSS d'abord mais bien au-delà désormais, des cours complets, des walkthroughs, technique après technique. Si vous apprenez par l'exposition pure, en regardant quelqu'un ouvrir Burp et foncer, c'est un déluge et c'est vraiment précieux.

Le compromis est dans le nom de cette comparaison. La production est brute, la régularité varie d'un clip à l'autre, et certaines explications sont plus approximatives que je ne le voudrais. Recoupez la technique avec les chaînes plus rigoureuses avant de l'intérioriser. De la largeur, pas une parole d'évangile.

Voir les schémas dans de vraies applis en production

NahamSec mérite sa place ici pour l'angle appliqué. La plupart du contenu appsec, c'est de la théorie au tableau blanc. Lui montre du vrai test web sur une vraie surface, l'énumération, le raisonnement "ce paramètre a l'air réfléchi, je vais le titiller", les retours en arrière peu glorieux dont est réellement faite la pratique. Pour un ingénieur appsec qui a lu sur l'IDOR et la SSRF mais n'a jamais vu quelqu'un les chaîner sur une cible live, les sessions techniques comblent vite ce manque.

La réserve : une bonne partie de son catalogue penche vers le recon, les events et le mode de vie du chasseur, ce qui recoupe le monde du bug bounty plus que celui de l'appsec pure. Filtrez pour les sessions techniques. La méthodologie est la valeur, pas le montage spectacle.

Bug Bounty Reports Explained porte un nom trompeur pour cette liste, parce que la valeur n'est pas la prime, c'est l'autopsie. Il prend de vrais rapports divulgués et les dissèque. Pourquoi le bug a marché. Ce que le chercheur a remarqué et que tous les autres ont raté. Comment une petite incohérence dans la façon dont deux services parsent une URL devient un impact réel. C'est ce qui se rapproche le plus d'un apprentissage de revue de code en accès libre, et c'est de la reconnaissance de schémas sur des systèmes de production plutôt que sur des jouets de lab.

La réserve honnête : ça suppose le vocabulaire acquis. Si vous ne savez pas déjà ce qu'est une SSRF ou un contournement d'authentification, vous serez perdu. Regardez PwnFunction d'abord, puis venez ici voir la classe abstraite apparaître dans un vrai codebase.

Le coin web3, parce que l'EVM casse autrement

OpenZeppelin est l'intrus de la liste, et c'est volontaire. L'appsec des smart contracts est une discipline différente avec les mêmes réflexes. Entrée non fiable, frontières de confiance, un état qu'on croyait cohérent et qui ne l'était pas. Leur contenu couvre le secure coding pour l'EVM, des walkthroughs d'audit, la reentrancy, le contrôle d'accès, la bibliothèque standard sur laquelle la moitié de l'écosystème se construit. Pour un ingénieur appsec web qui lorgne le monde on-chain, c'est la porte d'entrée sérieuse et de qualité éditeur, pas une chaîne à hype.

La réserve : c'est du contenu first-party d'une boîte de sécurité, donc ça gravite naturellement autour de leurs outils et de leurs bibliothèques. Les leçons de fond sur les exploits économiques et les hypothèses d'état sont transférables. Le cadrage produit, moins. Prenez le métier, gardez votre scepticisme.

Comment s'en servir concrètement

Ne bingez pas. Prenez PwnFunction pour comprendre une classe à froid, puis allez retrouver cette classe exacte dans la nature sur Bug Bounty Reports Explained, puis regardez NahamSec ou The XSS Rat pour voir le geste de test sur une surface live. Ensuite fermez l'onglet et ouvrez une appli volontairement vulnérable avec Burp en face, parce qu'aucune vidéo ne vous apprend le jugement de relire du source et de savoir quel sink est atteignable.

YouTube vous apprend à quoi ressemble le bug. Seules les heures passées sur du vrai code vous apprennent à le repérer avant un attaquant.

Pour le panorama large au-delà de l'appsec, voici le tour d'horizon complet. Et encore une fois, si votre vrai objectif est de gagner sur les plateformes de bounty plutôt que de comprendre les classes de vulnérabilités, c'est la liste bug bounty qu'il vous faut. Autre objectif, autres chaînes.