·
Engenharia de Software ·
Engenharia de Software
Envie sua pergunta para a IA e receba a resposta na hora
Recomendado para você
23
Trabalho de Programação - Estudo de Caso
Engenharia de Software
UGV
10
Projeto Ci-cd
Engenharia de Software
UGV
20
Autenticação e Sessão de Usuário
Engenharia de Software
UGV
1
Prometheus Grafana e Kubernetes
Engenharia de Software
UGV
11
Trabalho - Realizar como Está na Explicação e Usar o Anexo como Modelo
Engenharia de Software
UGV
21
Prova de Interação Humano-Computador
Engenharia de Software
PUC
12
Modelo-de-Dados-para-Distribuidora-de-Filmes-Projeto-Integrador-Web
Engenharia de Software
UNIGRAN
3
Requisitos Funcionais e Não Funcionais do Aplicativo
Engenharia de Software
UNIEVANGÉLICA
108
Processos de Engenharia de Software: Modelos e Tipos
Engenharia de Software
PUC
7
Laboratorista Social
Engenharia de Software
UNICESUMAR
Texto de pré-visualização
GUIA PASSOAPASSO ATIVIDADE PORTSWIGGER WEB SECURITY ACADEMY Disciplina Segurança de Dados Período 6º Curso Engenharia de Software Formato Atividade individual laboratório remota Alvo PortSwigger Web Security Academy labs autorizados Aviso legalético execute testes apenas nos labsURLs do PortSwigger Não realize testes contra sites reais sem autorização explícita Instruções gerais para o aluno 1 Crie conta no PortSwigger Web Security Academy httpsportswiggernet Academy 2 Escolha pelo menos 5 labs cobrindo ao menos 3 categorias do OWASP Top 10 ver lista mínima no item Escopo 3 Use Burp Suite Community Edition ou OWASP ZAP como proxy para interceptar e registrar tráfego 4 Documente tudo endpoints payloads capturas de tela respostas do servidor tempo justificativas técnicas 5 Entregue um relatório em PDF um arquivo zip com anexos prints scripts arquivos de configuração Escopo mínimo de labs obrigatório O aluno deve completar 5 labs escolhendo entre os seguintes tipos pelo menos 3 categorias diferentes SQL Injection refletido básico CrossSite Scripting refletido ou armazenado Broken Authentication Session Management Insecure Direct Object References IDOR Security Misconfiguration Missing Security Headers Para cada lab inclua o URL do lab fornecido pelo PortSwigger e o IDnome do lab Materiais e ferramentas necessárias Navegador ChromeFirefox Burp Suite Community Edition ou OWASP ZAP Editor VS Code Notepad Opcional sqlmap curl nmap Wireshark Ambiente com internet estável Estrutura do roteiro de execução passo a passo Passo 0 Registro e identificação do lab Nome do aluno Matrícula Lab selecionado 1 URL Lab 2 URL Lab 3 URL Lab 4 URL Lab 5 URL Data de início Hora Data de término Hora Passo 1 Preparação do ambiente e reconhecimento 1 Configure o navegador para usar o Burp Suite como proxy porta 8080 por padrão 2 Abra Burp Proxy Intercept Off apenas para mapear 3 Navegue pelo lab registre todas as páginas acessíveis e funcionalidades login busca upload carrinho comentários perfil Tabela de endpoints preencha Endpoint Método Parâmetros Tipo de entrada Observações Tarefa exporte do Burp ou salve prints das requisições interceptadas mais relevantes Passo 2 Testes e exploração controlada por lab Para cada lab preencha a seção abaixo Lab URL 1 Objetivo do lab conforme descrição do PortSwigger 2 Reconhecimento específico endpointsparametros alvos 3 Payloads testados incluir payloads e observações Exemplos de payloads apenas para labs autorizados SQLi OR 11 OR 11 XSS scriptalert1script svgonloadalert1 IDOR alterar id123 para id122 Headers verificar ausência de ContentSecurityPolicy XFrameOptions etc 4 Passos executados breve log o Requisição interceptada e enviada ao Repeater o Payloads manuais testados o Resposta do servidor capturada o Evidência print Burp e print da página anexada 5 Evidências anexadas nomes de arquivos o Burprequest1png o Pagealert1png o otherfileszip 6 Resultado da exploração sucesso parcial falha o Justificativa técnica Passo 3 Avaliação de risco por vulnerabilidade Para cada vulnerabilidade encontrada preencha Vulnerabilidade Descrição curta Impacto Baixo Médio Alto Probabilidade Infrequente Possível Provável CVSS simplificado Alto 910 Médio 58 Baixo 04 Prioridade de correção Alta Média Baixa Justificativa técnica Passo 4 Correções Mitigações propostas e demonstrativas Observação o PortSwigger Academy normalmente não permite alterar o lab remoto Apresente correções propostas e quando possível pequenos scriptsexemplos locais que mostrem a correção Para cada vulnerabilidade inclua Medida imediata configuração WAF bloqueio Correção no código snippet escolha uma stack NodePythonPHP o Exemplo SQLi Python psycopg2 PREPARED STATEMENT Python cursorexecuteSELECT FROM users WHERE id s userid Exemplo XSS Nodejs usando template escaping Usar template engine que escape por padrão ou escapar manualmente const safeOutput escapeHtmluserInput função de escape ressenddivsafeOutputdiv Exemplo configurar cookie de sessão SetCookie sessionabcd HttpOnly Secure SameSiteStrict Teste póscorreção proposto passos 1 Inserir payload original 2 Verificar que não há execução erro acesso indevido 3 Registrar prova print log Arquivos anexos nomes Passo 5 Hashing e armazenamento seguro de credenciais exemplo prático Inclua um pequeno script de demonstração Nodejs ou Python que gere e verifique hashes Exemplo Nodejs com bcrypt const bcrypt requirebcrypt const saltRounds 12 const password SenhaForte123 async function demo const hash await bcrypthashpassword saltRounds consolelogHash gerado hash const match await bcryptcomparepassword hash consolelogSenha confere match demo Observação técnica curta preencher Por que não usar MD5SHA1 para senhas Passo 6 Relatório final estrutura obrigatória Monte um PDF com as seções abaixo Use a checklist de anexos para garantir completude Estrutura do relatório padrão 1 Capa nome matrícula disciplina período título da atividade data 2 Sumário executivo máx 1 página principais achados e recomendações 3 Descrição do ambiente e escopo lista de labs e URLs 4 Metodologia ferramentas e passos 5 Vulnerabilidades encontradas uma seção por vulnerabilidade descrição payloads evidências CVSS correção proposta 6 Correções implementadas script demonstrativo ou justificativa se não for aplicável 7 Testes póscorreção propostos 8 Conclusões e recomendações operacionais 9 Anexos capturas logs scripts colocar em zip Checklist de anexos marcar antes da entrega PDF do relatório final ZIP com prints do BurpBrowser Scripts de demonstração hashing prepared statements Tabela de endpoints preenchida Matriz de risco preenchida Rubrica de avaliação total 20 Completude dos labs e evidências Precisão na identificação e reprodução Qualidade técnica das correções propostas scripts Avaliação de risco CVSS simplificado e priorização Relatório organização clareza anexos Observação plágio ou uso de solução pronta sem justificativa técnica será penalizado Exemplos rápidos de payloads comandos úteis SQLi teste inicial OR 11 OR 11 XSS refletido simples scriptalertxssscript svgonloadalert1 Headers importantes para verificar ContentSecurityPolicy XFrameOptions DENY XContentTypeOptions nosniff Cookies HttpOnly Secure SameSiteStrict Burp Repeater fluxo 1 Capture requisição no Proxy 2 Send to Repeater 3 Modifique payloads 4 Envie e registre respostas Cronograma 08 aulas Sessão 1 4 aulas 3h30 configuração exploração de 2 labs SQLi XSS documentação inicial Sessão 2 4 aulas 3h30 exploração de mais 3 labs elaboração de correções propostas geração do relatório Entrega final PDF ZIP com anexos Observações finais Alunos devem incluir URL exatas dos labs imprescindível Aceitar exemplos de correção em Nodejs Python PHP Incentivar links de referência OWASP Top 10 PortSwigger docs no relatório Penalizar testes fora do escopo dos labs
Envie sua pergunta para a IA e receba a resposta na hora
Recomendado para você
23
Trabalho de Programação - Estudo de Caso
Engenharia de Software
UGV
10
Projeto Ci-cd
Engenharia de Software
UGV
20
Autenticação e Sessão de Usuário
Engenharia de Software
UGV
1
Prometheus Grafana e Kubernetes
Engenharia de Software
UGV
11
Trabalho - Realizar como Está na Explicação e Usar o Anexo como Modelo
Engenharia de Software
UGV
21
Prova de Interação Humano-Computador
Engenharia de Software
PUC
12
Modelo-de-Dados-para-Distribuidora-de-Filmes-Projeto-Integrador-Web
Engenharia de Software
UNIGRAN
3
Requisitos Funcionais e Não Funcionais do Aplicativo
Engenharia de Software
UNIEVANGÉLICA
108
Processos de Engenharia de Software: Modelos e Tipos
Engenharia de Software
PUC
7
Laboratorista Social
Engenharia de Software
UNICESUMAR
Texto de pré-visualização
GUIA PASSOAPASSO ATIVIDADE PORTSWIGGER WEB SECURITY ACADEMY Disciplina Segurança de Dados Período 6º Curso Engenharia de Software Formato Atividade individual laboratório remota Alvo PortSwigger Web Security Academy labs autorizados Aviso legalético execute testes apenas nos labsURLs do PortSwigger Não realize testes contra sites reais sem autorização explícita Instruções gerais para o aluno 1 Crie conta no PortSwigger Web Security Academy httpsportswiggernet Academy 2 Escolha pelo menos 5 labs cobrindo ao menos 3 categorias do OWASP Top 10 ver lista mínima no item Escopo 3 Use Burp Suite Community Edition ou OWASP ZAP como proxy para interceptar e registrar tráfego 4 Documente tudo endpoints payloads capturas de tela respostas do servidor tempo justificativas técnicas 5 Entregue um relatório em PDF um arquivo zip com anexos prints scripts arquivos de configuração Escopo mínimo de labs obrigatório O aluno deve completar 5 labs escolhendo entre os seguintes tipos pelo menos 3 categorias diferentes SQL Injection refletido básico CrossSite Scripting refletido ou armazenado Broken Authentication Session Management Insecure Direct Object References IDOR Security Misconfiguration Missing Security Headers Para cada lab inclua o URL do lab fornecido pelo PortSwigger e o IDnome do lab Materiais e ferramentas necessárias Navegador ChromeFirefox Burp Suite Community Edition ou OWASP ZAP Editor VS Code Notepad Opcional sqlmap curl nmap Wireshark Ambiente com internet estável Estrutura do roteiro de execução passo a passo Passo 0 Registro e identificação do lab Nome do aluno Matrícula Lab selecionado 1 URL Lab 2 URL Lab 3 URL Lab 4 URL Lab 5 URL Data de início Hora Data de término Hora Passo 1 Preparação do ambiente e reconhecimento 1 Configure o navegador para usar o Burp Suite como proxy porta 8080 por padrão 2 Abra Burp Proxy Intercept Off apenas para mapear 3 Navegue pelo lab registre todas as páginas acessíveis e funcionalidades login busca upload carrinho comentários perfil Tabela de endpoints preencha Endpoint Método Parâmetros Tipo de entrada Observações Tarefa exporte do Burp ou salve prints das requisições interceptadas mais relevantes Passo 2 Testes e exploração controlada por lab Para cada lab preencha a seção abaixo Lab URL 1 Objetivo do lab conforme descrição do PortSwigger 2 Reconhecimento específico endpointsparametros alvos 3 Payloads testados incluir payloads e observações Exemplos de payloads apenas para labs autorizados SQLi OR 11 OR 11 XSS scriptalert1script svgonloadalert1 IDOR alterar id123 para id122 Headers verificar ausência de ContentSecurityPolicy XFrameOptions etc 4 Passos executados breve log o Requisição interceptada e enviada ao Repeater o Payloads manuais testados o Resposta do servidor capturada o Evidência print Burp e print da página anexada 5 Evidências anexadas nomes de arquivos o Burprequest1png o Pagealert1png o otherfileszip 6 Resultado da exploração sucesso parcial falha o Justificativa técnica Passo 3 Avaliação de risco por vulnerabilidade Para cada vulnerabilidade encontrada preencha Vulnerabilidade Descrição curta Impacto Baixo Médio Alto Probabilidade Infrequente Possível Provável CVSS simplificado Alto 910 Médio 58 Baixo 04 Prioridade de correção Alta Média Baixa Justificativa técnica Passo 4 Correções Mitigações propostas e demonstrativas Observação o PortSwigger Academy normalmente não permite alterar o lab remoto Apresente correções propostas e quando possível pequenos scriptsexemplos locais que mostrem a correção Para cada vulnerabilidade inclua Medida imediata configuração WAF bloqueio Correção no código snippet escolha uma stack NodePythonPHP o Exemplo SQLi Python psycopg2 PREPARED STATEMENT Python cursorexecuteSELECT FROM users WHERE id s userid Exemplo XSS Nodejs usando template escaping Usar template engine que escape por padrão ou escapar manualmente const safeOutput escapeHtmluserInput função de escape ressenddivsafeOutputdiv Exemplo configurar cookie de sessão SetCookie sessionabcd HttpOnly Secure SameSiteStrict Teste póscorreção proposto passos 1 Inserir payload original 2 Verificar que não há execução erro acesso indevido 3 Registrar prova print log Arquivos anexos nomes Passo 5 Hashing e armazenamento seguro de credenciais exemplo prático Inclua um pequeno script de demonstração Nodejs ou Python que gere e verifique hashes Exemplo Nodejs com bcrypt const bcrypt requirebcrypt const saltRounds 12 const password SenhaForte123 async function demo const hash await bcrypthashpassword saltRounds consolelogHash gerado hash const match await bcryptcomparepassword hash consolelogSenha confere match demo Observação técnica curta preencher Por que não usar MD5SHA1 para senhas Passo 6 Relatório final estrutura obrigatória Monte um PDF com as seções abaixo Use a checklist de anexos para garantir completude Estrutura do relatório padrão 1 Capa nome matrícula disciplina período título da atividade data 2 Sumário executivo máx 1 página principais achados e recomendações 3 Descrição do ambiente e escopo lista de labs e URLs 4 Metodologia ferramentas e passos 5 Vulnerabilidades encontradas uma seção por vulnerabilidade descrição payloads evidências CVSS correção proposta 6 Correções implementadas script demonstrativo ou justificativa se não for aplicável 7 Testes póscorreção propostos 8 Conclusões e recomendações operacionais 9 Anexos capturas logs scripts colocar em zip Checklist de anexos marcar antes da entrega PDF do relatório final ZIP com prints do BurpBrowser Scripts de demonstração hashing prepared statements Tabela de endpoints preenchida Matriz de risco preenchida Rubrica de avaliação total 20 Completude dos labs e evidências Precisão na identificação e reprodução Qualidade técnica das correções propostas scripts Avaliação de risco CVSS simplificado e priorização Relatório organização clareza anexos Observação plágio ou uso de solução pronta sem justificativa técnica será penalizado Exemplos rápidos de payloads comandos úteis SQLi teste inicial OR 11 OR 11 XSS refletido simples scriptalertxssscript svgonloadalert1 Headers importantes para verificar ContentSecurityPolicy XFrameOptions DENY XContentTypeOptions nosniff Cookies HttpOnly Secure SameSiteStrict Burp Repeater fluxo 1 Capture requisição no Proxy 2 Send to Repeater 3 Modifique payloads 4 Envie e registre respostas Cronograma 08 aulas Sessão 1 4 aulas 3h30 configuração exploração de 2 labs SQLi XSS documentação inicial Sessão 2 4 aulas 3h30 exploração de mais 3 labs elaboração de correções propostas geração do relatório Entrega final PDF ZIP com anexos Observações finais Alunos devem incluir URL exatas dos labs imprescindível Aceitar exemplos de correção em Nodejs Python PHP Incentivar links de referência OWASP Top 10 PortSwigger docs no relatório Penalizar testes fora do escopo dos labs