Diário de Bordo – Pedro Luiz
Disciplina: Gestão de Configuração e Evolução de Software
Equipe: OWASP (Time Red)
Comunidade/Projeto de Software Livre: OWASP (ej-application)
Sprint 0 – 03/09 até 10/09
Resumo da Sprint
Esta sprint teve como foco a configuração inicial do ambiente de desenvolvimento e a compreensão dos padrões fundamentais do projeto. Seguindo as instruções do README.md oficial, instalei as dependências necessárias e inicializei os containers Docker para executar o EJ localmente. Além disso, dediquei tempo ao estudo da documentação oficial, o que me permitiu ter uma visão geral da arquitetura e do fluxo de funcionamento da aplicação.
Por fim, organizei um plano de estudos para as próximas etapas, alinhado às orientações do mentor, com foco nos tópicos de segurança e práticas recomendadas para o trabalho do Red Team.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 03/09 | Estudo da Documentação do Projeto | Estudo | – EJ Docs | Concluído |
| 07/09 | Configuração do ambiente | Estudo | – | Concluído |
| 10/09 | Relatório de Geral/Pessoal de GCES | Docs | – | Concluído |
Maiores Avanços
O maior avanço desta sprint foi conseguir executar o projeto em uma máquina virtual Linux, após toda a configuração do ambiente conforme o README.md oficial. Esse resultado não apenas validou a preparação correta do ambiente, mas também proporcionou uma compreensão prática da arquitetura do sistema, permitindo visualizar seus módulos, dependências e fluxo de funcionamento em tempo real. Esse passo foi fundamental para consolidar a base técnica necessária às próximas etapas de estudo e contribuição no projeto.
Fork (@pedroluizfo): Fork fo EJ Application
Maiores Dificuldades
Tive algumas dificuldades na configuração inicial do docker no meu computador, mas foi resolvido sem maiores dificuldades.
Aprendizados
Os aprendizados desta sprint concentraram-se principalmente na exploração da estrutura interna do EJ, possibilitando uma melhor compreensão de sua arquitetura, dos componentes que a compõem e do fluxo geral de funcionamento da aplicação. Esse processo foi essencial para consolidar a base de entendimento técnico necessária para futuras análises de segurança e contribuições no projeto.
Plano Pessoal para a Próxima Sprint
Na próxima sprint, pretendo aprofundar meus estudos em vulnerabilidades e técnicas de ataque recomendadas pelo mentor Rodolfo para o Red Team, com ênfase em SQL Injection, Cross-Site Request Forgery (CSRF), Cross-Site Scripting (XSS), Clickjacking, Insecure Direct Object References (IDOR), sessões e cookies inseguros, além de ataques de brute force e estratégias de rate limiting. Esses conteúdos serão praticados em plataformas especializadas como HackTheBox, TryHackMe e PortSwigger Academy, com o objetivo de consolidar uma base prática em segurança ofensiva que possa ser aplicada posteriormente no contexto do projeto.