Diário de Bordo – Pedro Luiz
Disciplina: Gerência de Configuração e Evolução de Software
Equipe: OWASP Red Team
Comunidade/Projeto de Software Livre: Pencil Labs / EJ-Application
Sprint 2 – 23/09/2025 – 07/10/2025
Resumo da Sprint
Nesta sprint, o foco foi o estudo e a execução prática de um ataque de Clickjacking na aplicação EJ, hospedada localmente em ambiente Docker. O objetivo foi identificar se o sistema possuía proteções contra o embutimento de páginas sensíveis em iframes e demonstrar um proof of concept (PoC) que evidenciasse o risco dessa vulnerabilidade.
Atividades Realizadas
| Data | Atividade | Tipo (Código/Doc/Discussão/Outro) | Link/Referência | Status |
|---|---|---|---|---|
| 24/09 | Estudo teórico sobre Clickjacking e defesas CSP/XFO | Estudo | OWASP Clickjacking | Concluído |
| 27/09 | Inspeção de headers HTTP via curl -I em endpoints da EJ |
Outro | - | Concluído |
| 02/10 | Criação e execução do PoC (poc.html) para Clickjacking |
Código | - | Concluído |
| 04/10 | Documentação dos resultados e proposta de mitigação | Documentação | [Relatório Clickjacking em LaTeX] | Concluído |
Sistema Usado
Os testes foram conduzidos em um ambiente local com o projeto EJ rodando em Docker, acessado através do navegador Google Chrome e linha de comando em Ubuntu.
Para verificação de cabeçalhos e comportamento da aplicação sob framing, foram utilizados:
- curl – para inspeção de headers HTTP
- Navegador – para executar o PoC e observar bloqueios ou carregamento do iframe
Ferramentas
cURL
Ferramenta utilizada para verificar os cabeçalhos de resposta do servidor, permitindo identificar se a aplicação enviava proteções como:
- X-Frame-Options: DENY
- Content-Security-Policy: frame-ancestors 'none'