Diário de Bordo – Júlio César Costa
Disciplina: Gerência de Configuração e Evolução de Software
Equipe: OWASP Red Team
Comunidade/Projeto de Software Livre: Pencil Labs / EJ-Application
Sprint 3 - 22/10/2025 – 19/11/2025
Resumo da Sprint
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 17/11 | Execução do Ataque Session Hijacking | Outro | Concluído |
Sistema Usado
Foi utilizado o sistema Kali Linux e o servidor rodando em Docker localmente
Ferramentas
- Wireshark
Descrição
Com a ajuda do Marcus Vinicius, que identificou e planejou como seria feito o ataque, realizei a prática do ataque Session Hijacking usando o cookie sessionid que não tem a flag Secure ativada, permitindo que atacantes vejam o cookie em texto plano, este cookie pode ser usado para logar no site como se estivesse estivesse logando como a vítima.
O ataque foi feito usando uma máquina virtual Kali Linux com conexão em modo Bridge que neste ataque está servindo o papel da vítima, nele eu acesso o site e faço login normalmente usando a conta admin de exemplo, o sistema host em que o servidor está rodando em docker tem o papel de atacante, o sistema host está rodando o Wireshark para interceptar pacotes vindo da máquina da vítima (Kali Linux no VirtualBox), quando a vítima realiza o login é possível ver o pacote HTTP enviado em texto plano e copiar o sessionid, no navegador do atacante é possível criar um cookie chamado sessionid com o valor copiado da vítima e entrar na conta como se fosse ela.
Resultado
O ataque foi bem sucedido (encontrou o problema)
Maiores Dificuldades
Não houve dificuldades
Aprendizados
Aprendi como é feito a execução real de um ataque Session Hijacking.