Skip to content

Diário de Bordo – Mateus Vieira

Disciplina: Gestão de Configuração e Evolução de Software

Equipe: OWASP (Time Red)

Comunidade/Projeto de Software Livre: OWASP (ej-application)

Sprint 5 – 19/11/2025 – 02/12/2025

Resumo da Sprint

Nesta sprint, finalizei a etapa de documentação ofensiva produzindo o relatório detalhado da vulnerabilidade XSS explorada no ej-application, estruturado no formato MITRE ATT&CK. Em paralelo, desenvolvi uma nova contribuição para o repositório oficial: um Guia de Contribuição com foco exclusivo em segurança para o Jinja2, orientando futuras implementações a evitar construções inseguras relacionadas ao filtro |safe, sanitização e boas práticas de renderização de HTML.

Atividades realizadas (detalhado)

Data Atividade Tipo Referência / Observação
19-27/11 Escrita do relatório técnico da vulnerabilidade XSS no formato MITRE ATT&CK Documentação Relatório
25-30/11 Construção do Guia de Contribuição de Segurança para Jinja2 Contribuição
01-02/12 Abertura do MR contendo o Guia de Contribuição Contribuição MR #395

Estudo complementar

Durante esta sprint, aprofundei conhecimentos técnicos sobre:

MITRE ATT&CK

  • Mapeamento de Táticas e Técnicas adequadas para documentação ofensiva.
  • Criação de narrativas técnicas concisas para red team.

Desenvolvimento do Guia de Contribuição

O Guia de Contribuição foi criado para:

  • Padronizar implementações seguras com Jinja2 no projeto.
  • Alertar sobre o uso incorreto de filtros como |safe.
  • Reforçar a necessidade de validação e sanitização no backend.
  • Oferecer exemplos seguros e inseguros para comparação.
  • Estabelecer diretrizes mínimas para lidar com HTML dinâmico.

Principais tópicos incluídos:

  • Checklist de segurança para novas contribuições
  • Secção exclusiva sobre saneamento (“sanitization-first”)
  • Explicação da regra: “não confiar no HTML vindo do usuário”
  • Riscos de XSS no uso inadequado de variáveis em templates
  • Uso recomendado de nh3 no backend antes da renderização

Esse conteúdo serve como referência para qualquer desenvolvedor contribuidor da comunidade.

Submissão do MR

O MR #395 contendo exclusivamente o Guia de Contribuição de Segurança para Jinja2 foi aberto para revisão na comunidade ej-application. O MR complementa a solução técnica submetida anteriormente MR #392, atuando agora na camada de documentação e prevenção de funcionalidades futuras.

Relatório MITRE ATT&CK

Um relatório MITRE ATT&CK é um documento ou registro que organiza e descreve informações sobre técnicas, táticas e procedimentos (TTPs) utilizados por agentes maliciosos (hackers, malware, grupos de APTs) para atacar sistemas de informação. Ele se baseia na matriz MITRE ATT&CK, que é um framework amplamente utilizado em cibersegurança.

O relatório, estruturado no formato MITRE ATT&CK, sobre a exploração da falha de XSS na ej-application pode ser encontrado aqui: Relatório

Maiores Dificuldades

  • Não houve dificuldade durante o processo de estudo e documentação.

Aprendizados

  • Aprimoramento de documentação em padrões profissionais de segurança.
  • Aplicação prática do MITRE ATT&CK para estruturar relatórios ofensivos.