Ataques do Lado do Cliente e Autenticação
Aprenda sobre ataques do lado do cliente e vulnerabilidades de autenticação que permitem aos atacantes explorar o navegador, contornar proteções de login e acessar dados aos quais não deveriam ter acesso. Muitos comprometimentos web não dependem de uma única falha grave, mas sim do encadeamento de vulnerabilidades como XSS, autenticação suscetível a força bruta e controle de acesso quebrado. Este curso ensina como essas fraquezas funcionam e como elas se combinam em cenários realistas de tomada de controle de contas (account takeover).
Por que isso é importante
As aplicações web frequentemente falham nas fronteiras de confiança: o que o navegador executa, quem tem permissão para acessar quais registros e como as tentativas de login são controladas. Os atacantes aproveitam essas lacunas para sequestrar sessões, roubar dados e elevar privilégios sem a necessidade de execução direta de código no lado do servidor.
Este curso foca na lógica por trás dessas vulnerabilidades. Você estudará XSS refletido e armazenado, fluxos de login suscetíveis a força bruta e falhas de controle de acesso do tipo IDOR, combinando-os em um cenário de invasão que reflete o encadeamento de ataques reais.
O que você aprenderá
- Identificar e explorar XSS refletido e armazenado em contextos web realistas.
- Analisar requisições de autenticação e automatizar ataques de força bruta na web.
- Abusar de referências inseguras a objetos (IDOR) para acessar ou modificar dados não autorizados.
- Compreender como falhas do lado do cliente e de autenticação se combinam em caminhos de comprometimento mais amplos.
- Construir um modelo mental mais claro, tanto para atacantes quanto para defensores, sobre invasões comuns em aplicações web.
Roteiro do Curso
- Cross-Site Scripting (XSS) Refletido: Injetar payloads executados pelo navegador através de entrada refletida.
- Cross-Site Scripting Armazenado: Explorar XSS persistente, onde payloads maliciosos são salvos e reproduzidos para outros usuários.
- Força Bruta em Autenticação Web: Analisar fluxos de trabalho de login e automatizar a adivinhação de credenciais com o
Hydra. - Controle de Acesso Quebrado (IDOR): Manipular identificadores e requisições para acessar dados além das fronteiras do usuário.
- Desafio de Tomada de Controle de Aplicação Web: Encadear vulnerabilidades de autenticação, autorização e XSS em um comprometimento completo de um portal web.
Para quem é este curso
- Alunos que desejam desenvolver habilidades práticas de exploração web além da fase de reconhecimento.
- Testadores de segurança focados em falhas de lógica de aplicação e comprometimento de contas.
- Defensores que precisam entender como vulnerabilidades web aparentemente isoladas podem ser encadeadas.
Resultados
Ao final deste curso, você será capaz de testar falhas comuns do lado do cliente e de autenticação, explicar seu impacto no mundo real e reconhecer como elas contribuem para cenários de comprometimento total de aplicações.
