Diário de Bordo – [Henrique Hida]
Disciplina: Gerência de Configuração e Evolução de Software - T01
Equipe: OWASP/Red Team
Comunidade/Projeto de Software Livre: OWASP/ej-application
Sprint 1 | 11/09/2025 — 24/09/2025
Visão Geral
Nesta sprint foquei em estudar mais a parte teórica sobre vetores de ataque web clássicos. Mais específicamente: SQL Injection (SQLi), Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e Clickjacking — suas causas, impactos e as principais contramedidas.
Atividades realizadas
| Data | Atividade | Tipo | Referência | Situação |
|---|---|---|---|---|
| 20/09 | Estudo do repositório e dos mecanismos de contribuição do projeto | Estudo | README do repositório EJ | Concluído |
| 22/09 | Estudoa aprofundado sobre os principais ataques citados anteriormente | Estudo | OWASP | Concluído |
Principais resultados e aprendizados
- SQL Injection (SQLi)
- XSS
- CSRF & Clickjacking
- Insecure Direct Object References (IDOR)
- Conexão teoria → prática: a etapa teórica foi proposital para assegurar que os testes práticos (ex.: Juice Shop, DVWA) sejam orientados e seguros.
Dificuldades
Plano para a próxima sprint
Teoria - Investigar ataques de força bruta e estratégias de rate limiting.
Prática
- Montar e explorar desafios no OWASP Juice Shop aplicando os conceitos estudados.
- Instalar e testar o DVWA (Damn Vulnerable Web Application) para exercícios controlados de exploração e mitigação.
Consideração final
A sprint teve objetivo criar uma base conceitual forte do Red Team. O próximo ciclo deverá priorizar a validação prática dos conceitos em ambientes controlados, gerando evidências e recomendações de correção aplicáveis ao EJ-Platform.