Les applications web modernes proposent souvent des fonctionnalités telles que la génération de PDF pour améliorer l'expérience utilisateur. Cependant, ces fonctionnalités peuvent introduire par inadvertance des vulnérabilités critiques si elles ne sont pas correctement sécurisées. Lors d'un récent test d'intrusion, nous avons identifié une grave vulnérabilité d'injection HTML dans la génération de fichiers PDF de deux applications distinctes. En exploitant cette faiblesse, nous avons démontré la possibilité de lancer des attaques SSRF (Server-Side Request Forgery), permettant ainsi l'accès à des fichiers internes et au code source sensible de l'application. Cette session illustre de manière concrète et détaillée comment une vulnérabilité apparemment mineure peut avoir des conséquences catastrophiques. Elle souligne l'importance de pratiques de développement sécurisées, de configurations cloud robustes et d'une atténuation proactive des vulnérabilités. Les participants repartiront avec des stratégies pratiques pour renforcer leur sécurité, rendant cette présentation à la fois pédagogique et concrète.