Relatório de Atividades — Pedro Luiz
Disciplina: Gerência de Configuração e Evolução de Software
Equipe: OWASP — Red Team
Projeto: Pencil Labs / EJ-Platform
Sprint 1 | 11/09/2025 — 24/09/2025
Visão Geral
Nesta sprint priorizei construir uma base teórica sólida sobre vetores de ataque web clássicos. O objetivo foi entender em profundidade: SQL Injection (SQLi), Cross-Site Scripting (XSS), Cross-Site Request Forgery (CSRF) e Clickjacking — suas causas, impactos e as principais contramedidas.
Atividades realizadas
| Data | Atividade | Tipo | Referência | Situação |
|---|---|---|---|---|
| 19/09 | Leitura do repositório e dos mecanismos de contribuição do projeto | Estudo | README do repositório EJ | Concluído |
| 21/09 | Estudoa aprofundado sobre os principais ataques citados anteriormente | Estudo | OWASP | Concluído |
Principais resultados e aprendizados
- Insight unificador: boa parte das vulnerabilidades analisadas compartilha uma raiz comum: confiar cegamente na entrada do usuário.
- SQL Injection (SQLi): aprendi que misturar código e dados do usuário em consultas resulta em execução arbitrária no banco. A mitigação recomendada é sempre usar queries parametrizadas/ORMs e validação rigorosa dos inputs.
- XSS: identificado como a transformação de dados em código executável no contexto do navegador da vítima. Defesas eficazes incluem output encoding/escaping contextual e, quando possível, Content Security Policy (CSP).
- CSRF & Clickjacking: exploram comportamento de navegador/usuário — CSRF tira vantagem de sessões já autenticadas; Clickjacking engana o usuário a clicar em elementos ocultos. Medidas práticas: tokens anti-CSRF, cookies com SameSite e cabeçalhos X-Frame-Options / CSP
frame-ancestors. - Conexão teoria → prática: a etapa teórica foi proposital para assegurar que os testes práticos (ex.: Juice Shop, DVWA) sejam orientados e seguros.
Dificuldades
- Equilíbrio teoria/prática: a principal preocupação foi evitar ficar excessivamente tempo apenas estudando, postergando a aplicação prática. O desafio da próxima sprint é migrar rapidamente para exercícios hands-on sem perder a qualidade do embasamento.
Plano para a próxima sprint
Teoria
- Estudar Insecure Direct Object References (IDOR).
- Aprofundar segurança de sessões e cookies (flags, SameSite, transporte seguro).
- Investigar ataques de força bruta e estratégias de rate limiting.
Prática
- Montar e explorar desafios no OWASP Juice Shop aplicando os conceitos estudados.
- Instalar e testar o DVWA (Damn Vulnerable Web Application) para exercícios controlados de exploração e mitigação.
Consideração final
A sprint fortaleceu a base conceitual do Red Team. O próximo ciclo deverá priorizar a validação prática dos conceitos em ambientes controlados, gerando evidências e recomendações de correção aplicáveis ao EJ-Platform.