Diário de Bordo – Henrique Quenino
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Time Red)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 0 – 03/09 até 10/09
Resumo da Sprint
De início busquei entender o plano da matéria com o mentor Rodolfo, que bastante atencioso documentou o que se passaria e esteve disposto a explicar a melhor forma de aprendizado a seguir. Com tal, comecei por criar uma VM Linux (Ubuntu) no meu MacOS para rodar o projeto EJ localmente, seguindo o README.md do repositório oficial. Em seguida instaladas as dependências necessárias e inicializado o container Docker, rodei o projeto e estudei a documentação oficial deste, para entender sua arquitetura e funcionamento. Por fim planejei meus estudos para a próxima sprint, focando nos tópicos fornecidos pelo mentor.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 03/09 | Estudo da Documentação do Projeto | Estudo | – EJ Docs | Concluído |
| 09/09 | Configuração do ambiente | Estudo | – | Concluído |
| 10/09 | Relatório de Geral/Pessoal de GCES | Docs | – | Concluído |
Maiores Avanços
Ter rodado o projeto em uma máquina virtual Linux, depois de toda a configuração do ambiente seguindo o README.md do repositório oficial. Este foi o maior avanço porque permitiu vislumbrar a arquitetura do projeto e como a aplicação funciona na prática.
Fork (@henriquecq): Meu Fork fo EJ Application
Maiores Dificuldades
Não houveram dificuldade notáveis na configuração do ambiente.
Aprendizados
Relacionam-se principalmente ao estudo da estrutura interna do EJ, sua arquitetura e fluxo geral de funcionamento.
Plano Pessoal para a Próxima Sprint
Busco na próxima sprint estudar/treinar os conteúdos SQL Injection, Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS) e Clickjacking, Insecure Direct Object References (IDOR), Sessões/cookies inseguros, Brute force e rate limiting, que o mentor (Rodolfo) indicou para o Red Team, nas seguintes plataformas HackTheBox, TryHackMe e PortSwigger Academy.