Entrar Ainda não tem acesso?
Solucionado (ver solução)

Importante

Você está vendo a versão anterior da nova experiência da Alura que estamos preparando para você. Em breve, ela ganha uma identidade visual novinha totalmente pensada em potencializar seus estudos!

Solucionado
(ver solução)
1
resposta

[Sugestão] Casos de segurança tratada

Referente ao curso Pentest: explorando vulnerabilidades em aplicações web, no capítulo Encontrando vulnerabilidades e atividade Faça como eu fiz: Alterando role id

por Estudante
| 121.9k xp | 9 posts

Olá

Vocês poderiam trazer casos em que a segurança foi tratada, como por exemplo a questão dos cookies para ver como seria a resposta da interceptação feita.

1 resposta
solução!
por Lucas Ribeiro Mata
| 1224.7k xp | 1792 posts
Instrutor Coordenador

Olá, Larissa!

Sua sugestão é muito interessante, obrigado por compartilhar aqui.

Vamos falar um pouco sobre como a segurança pode ser tratada, especialmente em relação aos cookies, e como isso pode ser observado em um cenário de interceptação.

Exemplo de Segurança com Cookies

Os cookies são frequentemente utilizados para armazenar informações de sessão e autenticação. Para proteger esses dados, algumas práticas de segurança podem ser implementadas:

  1. Cookies com a flag HttpOnly: Essa flag impede que o cookie seja acessível via JavaScript, reduzindo o risco de ataques XSS (Cross-Site Scripting).

  2. Cookies com a flag Secure: Essa flag garante que o cookie só seja enviado para o servidor através de conexões HTTPS, protegendo-o contra ataques de interceptação em redes não seguras.

  3. Cookies com a flag SameSite: Essa flag ajuda a prevenir ataques CSRF (Cross-Site Request Forgery) ao restringir o envio de cookies em contextos de navegação cruzada.

Cenário Prático de Interceptação

Vamos imaginar um cenário onde você está utilizando o Burp Suite para interceptar uma requisição que contém cookies de autenticação:

  1. Interceptando a Requisição:

    • No Burp Suite, vá para Proxy > Intercept e ative a interceptação (Intercept is on).
    • Abra o navegador configurado com o Burp Suite e faça login em uma aplicação web.

  2. Analisando os Cookies:

    • Quando a requisição for interceptada, você verá os cookies na seção de cabeçalhos HTTP.
    • Procure pelos atributos HttpOnly, Secure e SameSite nos cookies.
    GET /dashboard HTTP/1.1
Host: example.com
Cookie: sessionId=abc123; HttpOnly; Secure; SameSite=Strict

  3. Tentando Modificar os Cookies:

    • Tente alterar o valor do cookie e veja se a aplicação continua funcionando corretamente. Se a aplicação estiver bem configurada, ela deve invalidar a sessão ou rejeitar a requisição.

Exemplo de Resposta a Interceptação

Se a aplicação estiver configurada corretamente, ao tentar interceptar e modificar um cookie protegido, você pode ver uma resposta como esta:

HTTP/1.1 401 Unauthorized
Content-Type: application/json
{
  "error": "Invalid session"
}

Isso indica que a aplicação detectou a alteração no cookie e respondeu de maneira segura, protegendo os dados do usuário.

Bons estudos!

Tópicos relacionados

Mostrar mais tópicos Mostrar menos tópicos

Conteúdos Alura com o tema

Trilhas por carreira

Carreiras de IA

Carreiras de Dados

Carreiras de Cyber

Carreiras de DevOps & Cloud

Carreiras de UX & UI

Carreiras de Mobile & Front-End

Carreiras de Back-End

Carreiras de Negócios

Cursos universitários FIAP

Graduação | Pós-graduação | MBA