Ataques Web do Lado do Servidor (Server-Side)
Aprenda sobre ataques web do lado do servidor que visam o comportamento confiável do backend da aplicação, em vez do navegador. Essas falhas são particularmente perigosas, pois permitem que invasores forcem o servidor a buscar recursos internos, analisar documentos maliciosos ou aceitar tokens de autenticação forjados. Este curso ensina como funcionam o SSRF, o XXE e a manipulação de JWT, e como os invasores os encadeiam para obter comprometimentos mais profundos no servidor.
Por que isso é importante
As falhas do lado do servidor quebram premissas nas quais as equipes costumam confiar excessivamente. Se uma aplicação consegue acessar serviços internos em nome de um usuário, ler arquivos locais por meio de processamento inseguro ou aceitar um token forjado, o invasor frequentemente consegue contornar camadas de segmentação e controle de acesso que pareciam seguras vistas de fora.
Este curso foca em cadeias de ataque de alto impacto. Você aprenderá a forçar requisições no backend, abusar do processamento de XML, inspecionar e modificar JWTs e combinar vulnerabilidades do lado do servidor para extrair segredos e se passar por usuários privilegiados.
O que você aprenderá
- Explorar SSRF para acessar serviços internos e recursos protegidos do backend.
- Abusar de XXE para ler arquivos locais e extrair dados confidenciais do servidor.
- Decodificar, analisar e manipular tokens de autenticação baseados em JWT.
- Compreender como a confiança em tokens e o comportamento de parsers criam brechas de segurança.
- Encadear vulnerabilidades do lado do servidor em um cenário realista de comprometimento de acesso privilegiado.
Roteiro do Curso
- Server-Side Request Forgery (SSRF): Forçar um servidor alvo a realizar requisições que você não conseguiria enviar diretamente.
- XML External Entity (XXE) Injection: Explorar o processamento inseguro de XML para ler dados locais confidenciais.
- Fundamentos de Manipulação de JWT: Analisar a estrutura de tokens e abusar de validações fracas ou do manuseio de assinaturas.
- Desafio de Exploração do Lado do Servidor: Encadear múltiplas vulnerabilidades para recuperar segredos e contornar controles administrativos.
Para quem é este curso
- Alunos que estão progredindo de falhas web básicas para a exploração avançada do lado do servidor.
- Testadores de segurança que precisam de prática prática com caminhos de ataque de alto impacto no backend.
- Defensores que desejam entender como os limites de confiança falham em aplicações web e APIs.
Resultados
Ao final deste curso, você será capaz de identificar e explorar vulnerabilidades web comuns do lado do servidor, explicar por que elas são perigosas e raciocinar sobre como elas se combinam para resultar em um comprometimento sério da aplicação.
