Segurança de Aplicações Web

Prevenção de Ataques Comuns

Defesas contra SQL Injection, Cross-Site Scripting (XSS), CSRF e outras ameaças OWASP Top 10.

Técnicas de Mitigação

Ataque Prevenção Ferramentas
SQL Injection Prepared Statements, ORMs SQLMap (teste)
XSS Sanitização, CSP Headers XSStrike, DOMPurify
CSRF Tokens anti-CSRF CSRFToken (Django)
Exemplo Prático (Node.js): Implementação de sanitização contra XSS: 
const sanitizeHtml = require('sanitize-html');

const userInput = '<script>malicious()</script>';
const clean = sanitizeHtml(userInput, {
  allowedTags: ['b', 'i', 'em', 'strong'],
  allowedAttributes: {}
});

console.log(clean); // Saída segura: "malicious()"

DevSecOps

Integração contínua de segurança no ciclo de desenvolvimento (Shift-Left Security).

Pipeline Seguro

  1. Pré-commit: Hooks Git com Husky + Semgrep
  2. CI/CD: SAST (SonarQube), SCA (Dependabot)
  3. Deploy: WAF (ModSecurity), DAST (OWASP ZAP)

Métricas Chave (2024)

Time-to-Fix: Redução de 65% com DevSecOps
Custo: 100x mais barato corrigir na fase de design
Eficácia: 80% menos vulnerabilidades em produção

Testes de Segurança

Identificação proativa de vulnerabilidades com abordagens automatizadas e manuais.

Ferramentas Recomendadas

Tipo Ferramenta Uso
SAST Semgrep, Checkmarx Análise estática
DAST OWASP ZAP, Burp Suite Teste dinâmico
SCA Dependabot, Snyk Dependências
Alerta OWASP 2024: Ataques de Supply Chain aumentaram 300%. Priorize:
  • Verificação de assinatura de pacotes
  • Lockfile de dependências (npm, pip)
  • Scanners como npm audit

Segurança em Aplicativos Móveis

Proteção contra engenharia reversa, vazamento de dados e hardening de apps.

Hardening Essentials

Plataforma Técnica Ferramenta
Android ProGuard, Cert Pinning Jadx, Frida
iOS Code Obfuscation iMAS, Objection

Padrões Obrigatórios

OWASP MASVS: Nível L2 para apps financeiros
PCI DSS: Requisito 6.5 para pagamentos
GDPR: Artigo 32 para proteção de dados