Diário de Bordo – Sebastián Zuzunaga
Disciplina: Gerência de Configuração e Evolução de Software Equipe: OWASP Blue Team Comunidade/Projeto de Software Livre: Pencil Labs / EJ-Application
Sprint 1 – 18/09/2025 - 23/09/2025
Resumo da Sprint
Este sprint é mais focado na parte teórica, mais especificamente foi feito um estudo de o modelo/metodologia de análise de ameaças em segurança da informação STRIDE, assim como para testar e certas formas de prevenir ataques do tipo Cross-Site Scripting (XSS).
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 19/09 | Estudo sobre Teste para Cross Site Scripting Refletido | Estudo | [OWASP]https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Application_Security_Testing/07-Input_Validation_Testing/01-Testing_for_Reflected_Cross_Site_Scripting.html | Concluído |
| 20/09 | Estudo sobre testes para Cross Site Scripting Armazenado | Estudo | [OWASP]https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Application_Security_Testing/07-Input_Validation_Testing/02-Testing_for_Stored_Cross_Site_Scripting.html | Concluído |
| 21/09 | Estudo sobre Testes para DOM-Based Cross Site Scripting | Estudo | [OWASP]https://owasp.org/www-project-web-security-testing-guide/v41/4-Web_Application_Security_Testing/11-Client_Side_Testing/01-Testing_for_DOM-based_Cross_Site_Scripting.html | Concluído |
| 22/09 | Estudo sobre medidas de mitigação para Cross Site Scripting | Estudo | [OWASP]https://cheatsheetseries.owasp.org/cheatsheets/Cross_Site_Scripting_Prevention_Cheat_Sheet.html | Concluído |
| 23/09 | Estudo sobre processo de modelagem de ameaças usando STRIDE | Estudo | [OWASP]https://owasp.org/www-community/Threat_Modeling_Process#stride | Concluído |
Maiores Avanços
- Aprendizagem de tecnologia de modelagem de ameaças STRIDE, bem como identificação e mitigação de ataque cross-site scripting.
Maiores Dificuldades
- Múltiplos termos mencionados nas fontes de informação que não foram explicados levaram a que se tivesse que realizar uma busca prolongando o tempo de estudo.
Aprendizados
- Passos necessários para executar o processo de modelagem de ameaças OWASP.
- Modelagem da aplicação identificando entradas, saídas, assets e realização de diagramas de fluxo de dados.
- Como fazer análise de ameaças usando o STRIDE junto com diagrama de árvore de ameaças e gráfico de casos de uso e abuso.
- Testes e sinais para identificar possíveis vulnerabilidades a ataques de cross-site scripting refletido, armazenado e baseado em DOM.
- Medidas de mitigação contra ataques de tipo Cross Site Scripting, mais especificamente Output Encoding e HTML Sanitization.
Plano Pessoal para a Próxima Sprint
- [ ] Estudar frameworks de modelagem STRIDE.
- [ ] Estudar frameworks de modelagem PATH.
- [ ] Realizar a modelagem de riscos.