Diário de Bordo – Henrique Camelo Quenino
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Time Red)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 3 – 07/10/2025 – 22/10/2025
Resumo da Sprint
Na Sprint 3, foram realizadas todas as atividades planejadas na Sprint 2, focadas em validar na prática a segurança de controle de acesso da EJ-Application. Ressaltei a investigação para identificação de vulnerabilidades de Broken Access Control (IDOR), testes de manipulação de tokens JWT e análises de autenticação. Embora nenhuma vulnerabilidade crítica tenha sido encontrada, a execução sistemática reforçou a segurança presente e consolidou o entendimento da arquitetura da aplicação.
Atividades realizadas
| Data | Atividade | Tipo | Resultado / Observação |
|---|---|---|---|
| 09/10/2025 | Mapeamento e inspeção dos endpoints na aplicação via DevTools | Reconhecimento | Nenhuma exposição de recursos via modificação direta de IDs |
| 13/10/2025 | Testes manuais de manipulação de parâmetros e URLs | Testes práticos | Todos os acessos tentados respeitaram controle de acesso correto |
| 14/10/2025 | Análise e tentativa de manipulação do token JWT | Testes técnicos | Tokens JWT com validação firme; manipulações rejeitadas |
| 22/10/2025 | Documentação objetiva dos procedimentos e conclusões | Documentação | Registro formal da ausência de falhas nesse escopo |
Detalhamento do processo
- A inspeção inicial focou em endpoints REST perante a navegação autenticada, buscando URLs ou cargas com IDs numéricos ou facilmente manipuláveis.
- Todas as manipulações de parâmetros (incluindo substituição de IDs na URL e corpo da requisição) foram monitoradas para verificar exposição não autorizada, sem sucesso.
- Nos testes de autenticação, tokens JWT foram decodificados e alterados para validar se a signature bloqueava mudanças de claims e privilégios; o sistema corretamente invalidava tokens adulterados.
- Documentei o ciclo completo para evidenciar a ausência de brechas no escopo testado, reforçando a maturidade da segurança atual da aplicação.
Importância dos resultados
- A inexistência de vulnerabilidades de Broken Access Control representa um forte indicativo de que os controles de autorização foram implementados corretamente, evitando exposição de dados entre usuários.
- Proteção robusta dos tokens JWT demonstra um bom mecanismo de autenticação e prevenção contra elevação indevida de privilégios.
- Apesar do resultado “negativo”, esta análise é um avanço importante, pois fecha um risco crítico e direciona esforços de segurança para outras áreas, como injeção de dados e configuração insegura.
- O processo estruturado de testes valida metodologias de segurança adotadas e garante transparência no ciclo de desenvolvimento seguro.
Plano pessoal para a próxima sprint
- Continuidade dos ataques:
- Fuzzing e Rate Limiting
- Aprofundamento em técnicas de fuzzing e análise de comportamento de API