{"id":52775,"date":"2022-02-08T09:14:00","date_gmt":"2022-02-08T12:14:00","guid":{"rendered":"https:\/\/www.eldorado.org.br\/en\/blog\/"},"modified":"2022-03-03T16:29:43","modified_gmt":"2022-03-03T19:29:43","slug":"boas-praticas-em-cyber-security-para-aplicacoes-web","status":"publish","type":"post","link":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/","title":{"rendered":"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web"},"content":{"rendered":"<p style=\"text-align: center;\"><span style=\"font-weight: 400;\">Autores: Luiz Casagrande e Luan Uchoa<\/span><\/p>\n<p style=\"text-align: left;\"><span style=\"font-weight: 400;\">Ataques cibern\u00e9ticos sempre foram o pesadelo de grande parte da sociedade, e com o aumento da digitaliza\u00e7\u00e3o dos meios de trabalho remoto, advindos da pandemia de COVID-19, o n\u00famero de ataques cresce em curva exponencial. Isso provoca grandes preju\u00edzos financeiros e \u00e0 imagem dos que sofreram ou sofrem estes ataques. Baseado nos 10 principais tipos de ataques cibern\u00e9ticos dos \u00faltimos anos e pensando nos pr\u00f3ximos anos, a entidade internacional OWASP elaborou alguns guias e materiais para conscientiza\u00e7\u00e3o da comunidade quanto aos riscos e oferecendo sugest\u00f5es de como mitigar tais falhas, aliado ao desenvolvimento seguro de aplica\u00e7\u00f5es desde o princ\u00edpio, termo popularmente conhecido como Security By Design. Para contribuir com a comunidade, baseando-se nos guias de boas pr\u00e1ticas providos pela OWASP, e outras entidades mencionadas abaixo, elaboramos este artigo com as cinco principais falhas que afligem os sistemas web atuais.<\/span><\/p>\n<h2><b>OWASP Top 1 &#8211; <\/b><b><i>Broken Access Control (Quebra do Controle de Acesso)<\/i><\/b><\/h2>\n<p><b>IDOR, Insecure Direct Object Reference (Refer\u00eancias Inseguras Diretas ao Objeto)\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">A refer\u00eancia direta a objetos \u00e9 um m\u00e9todo de design em aplica\u00e7\u00f5es web em que nomes de entidades s\u00e3o passados via URLs ou par\u00e2metros da requisi\u00e7\u00e3o. Eles s\u00e3o ent\u00e3o usados para identificar e acessar recursos controlados pela aplica\u00e7\u00e3o.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00a0<\/span> <span style=\"font-weight: 400;\">A vulnerabilidade de refer\u00eancia insegura direta a objetos (deste ponto em diante, IDOR) permite que um invasor obtenha dados de outros usu\u00e1rios ao substituir o valor da entidade por um diferente do original. Por exemplo, uma vulnerabilidade IDOR ocorre se a URL de uma transa\u00e7\u00e3o pode ser alterada pelo lado do cliente para mostrar dados restritos da transa\u00e7\u00e3o de outro cliente. Para que seja explorada, ela deve ser combinada com uma falha de controle de acesso, pois \u00e9 esta que permite que o atacante acesse outros objetos al\u00e9m dos pretendidos.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Uma aplica\u00e7\u00e3o web est\u00e1 especialmente vulner\u00e1vel a IDOR quando:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Uma refer\u00eancia direta (tal como o ID de uma entrada do banco de dados, ou um nome de arquivo) \u00e9 exposta aos usu\u00e1rios como parte do par\u00e2metro da URL;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">A aplica\u00e7\u00e3o falha em verificar se o usu\u00e1rio est\u00e1 autorizado a acessar o objeto requisitado pela refer\u00eancia na URL.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Geralmente, ataques envolvendo IDOR acontecem com (i) a manipula\u00e7\u00e3o do corpo da p\u00e1gina, em que invasores alteram valores de <\/span><i><span style=\"font-weight: 400;\">checkboxes<\/span><\/i><span style=\"font-weight: 400;\">, <\/span><i><span style=\"font-weight: 400;\">radio buttons <\/span><\/i><span style=\"font-weight: 400;\">e campos dos formul\u00e1rios, o que lhes permitir\u00e1 acessar dados de outros usu\u00e1rios; ou (ii) a manipula\u00e7\u00e3o da URL, sendo esta alterada pelo lado do cliente para ajustar os par\u00e2metros da requisi\u00e7\u00e3o, em que as requisi\u00e7\u00f5es GET e POST s\u00e3o tipicamente vulner\u00e1veis a esse tipo de ataque.<\/span><\/p>\n<p><b>Exemplos de vulnerabilidades<\/b><\/p>\n<ol>\n<li><b> Recupera\u00e7\u00e3o indevida de registros\u00a0<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Considere um website que utilize a URL abaixo para acessar a p\u00e1gina do usu\u00e1rio contendo informa\u00e7\u00f5es pessoais, recuperando informa\u00e7\u00f5es de uma base de dados no servidor [Acunetix , 2020]:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">example.com\/profile.php?id=132355<\/span><\/p>\n<p><span style=\"font-weight: 400;\">O invasor pode tentar substituir o par\u00e2metro id por outros valores similares, digamos:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">example.com\/profile.php?id=73682<\/span><\/p>\n<p><span style=\"font-weight: 400;\">O ID do cliente \u00e9 usado diretamente para consultas executadas na base de dados do servidor. Se n\u00e3o houver outros controles implementados, o invasor pode simplesmente modificar o campo de ID, ignorando controles de acesso relacionados \u00e0 visualiza\u00e7\u00e3o de dados de outros clientes. O invasor pode executar escalonamento horizontal e vertical ao alterar para o ID de um usu\u00e1rio que possua privil\u00e9gios adicionais.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Quando uma aplica\u00e7\u00e3o web exp\u00f5e uma refer\u00eancia a um objeto interno da implementa\u00e7\u00e3o, \u00e9 poss\u00edvel inferir o formato\/padr\u00e3o usado para armazenar os objetos do lado do servidor. Assim, uma vulnerabilidade de IDOR pode fornecer ao invasor a capacidade de executar um ataque de enumera\u00e7\u00e3o para tentar acesso aos objetos associados. Considerando o exemplo acima, o invasor poderia construir uma cole\u00e7\u00e3o de IDs abrangendo entre 1 e 999999 para disparar um ataque paralelo com a inten\u00e7\u00e3o de obter esses dados [Acunetix , 2020].<\/span><\/p>\n<ol start=\"2\">\n<li><b> Execu\u00e7\u00e3o de opera\u00e7\u00e3o no sistema<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Vulnerabilidades IDOR podem acontecer em formul\u00e1rios de mudan\u00e7a de senha. Um formul\u00e1rio mal projetado pode ter a URL da seguinte forma [Acunetix , 2020]:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">example.com\/change_password.php?userid=1701<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Essa URL pode ser enviada via e-mail ao fornecer um endere\u00e7o de e-mail usando outro formul\u00e1rio. Se n\u00e3o houver verifica\u00e7\u00f5es adicionais, o invasor poderia tentar a URL acima com userid=1, e assim provavelmente teria acesso a uma conta de administrador.\u00a0<\/span><\/p>\n<ol start=\"3\">\n<li><b> Recupera\u00e7\u00e3o de recursos do servidor<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Vulnerabilidades IDOR tamb\u00e9m podem envolver nomes de arquivo. Uma das variantes mais t\u00edpicas de IDOR envolve caminhar pelos diret\u00f3rios. Neste caso, o usu\u00e1rio pode visualizar arquivos n\u00e3o autorizados. Digamos que um website armazene em disco o registro de mensagens entre dois usu\u00e1rios com nomes de arquivos incrementais, e que permita acesso atrav\u00e9s da seguinte URL [Acunetix , 2020]:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">example.com\/static\/12144.txt<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Nesta situa\u00e7\u00e3o, \u00e9 poss\u00edvel modificar o nome do arquivo para recuperar os registros de outro usu\u00e1rio.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Outra possibilidade seria atrav\u00e9s de uma p\u00e1gina web constru\u00edda para prover acesso a um recurso do sistema:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">example.com\/display.php?file.txt<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Se houver uma vulnerabilidade associada ao display.php, \u00e9 poss\u00edvel obter acesso a arquivos do sistema, como o \/etc\/passwd:<\/span><\/p>\n<p><span style=\"font-weight: 400;\">example.com\/display.php?..\/..\/..\/etc\/passwd<\/span><\/p>\n<p><b>Preven\u00e7\u00e3o contra IDOR<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Algumas fontes recomendam a preven\u00e7\u00e3o usando identificadores longos e dif\u00edceis de adivinhar (como os usados para IDs de sess\u00e3o). Outra solu\u00e7\u00e3o proposta \u00e9 usar refer\u00eancias indiretas com IDs externos dif\u00edceis de mapear. No entanto, note que esses m\u00e9todos podem dar uma falsa sensa\u00e7\u00e3o de seguran\u00e7a porque tornam o ataque mais dif\u00edcil, mas n\u00e3o imposs\u00edvel. O \u00fanico meio real de se proteger contra IDOR \u00e9 implementar controles estritos de acesso. A maioria dos frameworks web modernos (Rails, Django, etc) n\u00e3o possuem problemas com IDOR, exceto se o desenvolvedor decidir usar seus pr\u00f3prios m\u00e9todos no lugar dos fornecidos. Controle de acesso \u00e9 eficaz somente em c\u00f3digo confi\u00e1vel do lado do servidor ou em API <\/span><i><span style=\"font-weight: 400;\">serverless<\/span><\/i><span style=\"font-weight: 400;\">, onde o invasor n\u00e3o pode modificar os metadados ou as verifica\u00e7\u00f5es de acesso.<\/span><\/p>\n<ol>\n<li><b> Verificar as permiss\u00f5es de usu\u00e1rio no n\u00edvel do objeto de dados<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Este mecanismo resolve o problema prim\u00e1rio causador da vulnerabilidade: verifica\u00e7\u00e3o de acesso ausente ou insuficiente. N\u00e3o se deve confiar somente nas valida\u00e7\u00f5es do lado do cliente, pois elas podem facilmente ser contornadas.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Ao implementar controles de acesso do lado do servidor, \u00e9 relativamente \u00f3bvio adicionar verifica\u00e7\u00f5es de autoriza\u00e7\u00e3o no n\u00edvel de funcionalidade ou de rota. Um problema comum que causa essa vulnerabilidade s\u00e3o verifica\u00e7\u00f5es de acesso ausentes para proteger contra IDs manipulados em URLs. \u00c9 necess\u00e1rio aplicar controles de acesso aos dados verificando se o usu\u00e1rio requisitante \u00e9 propriet\u00e1rio ou tem permiss\u00f5es para acessar os dados solicitados.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">A aplica\u00e7\u00e3o deve tamb\u00e9m executar valida\u00e7\u00e3o sint\u00e1tica para verificar entradas suspeitas &#8211; estabelecer crit\u00e9rios para os dados de entrada e rejeit\u00e1-los se os crit\u00e9rios n\u00e3o s\u00e3o atendidos. Exemplos: tamanho m\u00ednimo ou m\u00e1ximo, intervalo (para valores num\u00e9ricos), tipos de dados, caracteres aceit\u00e1veis, etc. [Oreilly, 2022].<\/span><\/p>\n<ol start=\"2\">\n<li><b> Evite expor refer\u00eancias diretas aos objetos<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">No lugar de solicitar as refer\u00eancias na URL, use a informa\u00e7\u00e3o j\u00e1 presente na sess\u00e3o do usu\u00e1rio do lado do servidor para localizar os recursos a prover. No exemplo do perfil 132355, se os usu\u00e1rios s\u00e3o permitidos a ver apenas os pr\u00f3prios perfis, podemos utilizar o ID de sess\u00e3o do usu\u00e1rio conectado para o localizar, eliminando assim a necessidade de passar o ID como par\u00e2metro [Oreilly, 2022].<\/span><\/p>\n<ol start=\"3\">\n<li><b> Usar mapeamento de refer\u00eancias indiretas<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Se n\u00e3o \u00e9 poss\u00edvel evitar a exposi\u00e7\u00e3o das refer\u00eancias na URL, a t\u00e9cnica do mapeamento de refer\u00eancias indiretas \u00e9 \u00fatil. A ideia por tr\u00e1s desse m\u00e9todo \u00e9 substituir a refer\u00eancia direta na URL por um valor aleat\u00f3rio que seja dif\u00edcil de prever (tal como um GUID) ou espec\u00edfico apenas para o usu\u00e1rio conectado.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">O mapeamento de refer\u00eancias indiretas armazena as rela\u00e7\u00f5es entre a refer\u00eancia interna de um objeto e a refer\u00eancia indireta correspondente que \u00e9 exibida na URL. Voltando ao exemplo do perfil: ao inv\u00e9s de usar uma refer\u00eancia direta, como example.com\/profile.php?id=132355, pode ser usada uma refer\u00eancia indireta como example.com\/p\/kjbEEc24jkLUvAKJhv0p. Esse mapeamento deve ser mantido em um local seguro no servidor [Oreilly, 2022].<\/span><\/p>\n<ol start=\"4\">\n<li><b> Protegendo contra travessia de diret\u00f3rio<\/b><\/li>\n<\/ol>\n<p><span style=\"font-weight: 400;\">Para se prevenir contra esse ataque, \u00e9 necess\u00e1rio tomar provid\u00eancias no n\u00edvel de configura\u00e7\u00e3o do sistema e tamb\u00e9m no n\u00edvel de aplica\u00e7\u00e3o [Oreilly, 2022]:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">No n\u00edvel de sistema, configure o diret\u00f3rio raiz e a lista de controle de acesso para confinar o acesso do usu\u00e1rio e restringir acesso a arquivos fora da raiz da p\u00e1gina web;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">No c\u00f3digo, fa\u00e7a valida\u00e7\u00e3o de entrada do usu\u00e1rio para prevenir caracteres correspondentes \u00e0 travessia de diret\u00f3rio.\u00a0<\/span><\/li>\n<\/ul>\n<h2><b>OWASP Top 2 &#8211; <\/b><b><i>Cryptographic Failures<\/i><\/b><b> (Falhas de criptografia)<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Para o pleno funcionamento de comunica\u00e7\u00f5es seguras atrav\u00e9s da internet \u00e9 necess\u00e1rio que as aplica\u00e7\u00f5es possuam criptografia.\u00a0 Para que n\u00e3o haja comprometimento em din\u00e2micas envolvendo privacidade ou sigilo de dados, s\u00e3o utilizados algoritmos de criptografia e algumas fun\u00e7\u00f5es utilizam bibliotecas de criptografia. Hoje existem muitas bibliotecas de criptografia e tamb\u00e9m muitos algoritmos, contudo, muitos deles ainda podem apresentar falhas e podem possuir vulnerabilidades, sendo assim uma porta de entrada para explora\u00e7\u00e3o de invasores.\u00a0<\/span><\/p>\n<p><b>Poss\u00edveis vulnerabilidades<\/b><\/p>\n<p><span style=\"font-weight: 400;\">\u00c9 necess\u00e1rio se atentar com algumas situa\u00e7\u00f5es:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">N\u00e3o transmitir dados em texto claro, e preferencialmente n\u00e3o utilizar para transmitir dados sens\u00edveis os protocolos inseguros como FTP, HTTP, SMTP e algumas atualiza\u00e7\u00f5es do TLS, como no caso do STARTTLS. No tr\u00e1fego interno verificar os sistemas de <\/span><i><span style=\"font-weight: 400;\">back-end<\/span><\/i><span style=\"font-weight: 400;\"> e servidores web [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Substituir algoritmos ou protocolos de criptografia antigos por algoritmos ou protocolos mais modernos e seguros [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">N\u00e3o utilizar chaves de criptografia padr\u00e3o e nem reutilizar chaves expiradas, verificar no c\u00f3digo fonte se h\u00e1 alguma chave em coment\u00e1rio, em caso positivo remover o mais breve poss\u00edvel [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">N\u00e3o utilizar preenchimento criptogr\u00e1fico descontinuado como PKCS 1 v1.5, nem fun\u00e7\u00f5es de hash descontinuadas como MD5 ou SHA1 [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Verificar e corrigir mensagens de erro de criptografia que possibilitem explora\u00e7\u00e3o por um invasor [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Assegurar que os dados sens\u00edveis est\u00e3o devidamente criptografados, n\u00e3o coletar dados desnecess\u00e1rios [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Utiliza\u00e7\u00e3o de algoritmos e protocolos atualizados com melhor criptografia, utilizar fun\u00e7\u00f5es de <\/span><i><span style=\"font-weight: 400;\">hash <\/span><\/i><span style=\"font-weight: 400;\">com <\/span><i><span style=\"font-weight: 400;\">salt, <\/span><\/i><span style=\"font-weight: 400;\">as quais s\u00e3o fortemente adaptativas como PBKDF2, Argon2, bcrypt ou scrypt [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Criptografar com protocolos seguros, como TLS com FS, os dados que forem transportados, refor\u00e7ar criptografia com por exemplo HSTS (HTTP <\/span><i><span style=\"font-weight: 400;\">Strict Transport Security<\/span><\/i><span style=\"font-weight: 400;\">) [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Chaves devem ser geradas criptografadas aleatoriamente e armazenadas na mem\u00f3ria como bytes aleat\u00f3rios, para o uso de senhas, essas devem ser convertidas para uma chave atrav\u00e9s de uma fun\u00e7\u00e3o espec\u00edfica [OWASP A02, 2021];<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Vetores de inicializa\u00e7\u00e3o devem ser escolhidos apropriadamente conforme seu uso, podendo utilizar o CSPRNG (C<\/span><i><span style=\"font-weight: 400;\">ryptographically Secure Pseudo Random Number Generator<\/span><\/i><span style=\"font-weight: 400;\"> \u2013 gerador de n\u00fameros pseudo aleat\u00f3rios criptograficamente seguros) [OWASP A02, 2021].<\/span><\/li>\n<\/ul>\n<p><b>Grandes falhas que ocasionaram grandes preju\u00edzos\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Alguns exemplos de falhas que trouxeram problemas para grandes servidores e empresas:<\/span><\/p>\n<p><b>Configura\u00e7\u00f5es padr\u00f5es inseguras ou com falhas \u2013 quebra de conex\u00e3o TLS via SSLv2. <\/b><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">A falha ocorre quando o servidor ainda permite conex\u00e3o via SSLv2. Enquanto a maioria dos servidores podem estar atualizados para utilizar apenas TLS, alguns ainda permitem conex\u00e3o via SSLv2. Um invasor pode explorar essa falha tentando se conectar via SSLv2, caso tenha sucesso, ser\u00e1 poss\u00edvel quebrar a seguran\u00e7a provida pelo TLS e interceptar as chaves de seguran\u00e7a e demais informa\u00e7\u00f5es sens\u00edveis. De modo a prevenir este tipo de falha \u00e9 necess\u00e1rio verificar sempre se o tipo de conex\u00e3o \u00e9 exclusivamente via TLS [FreeCodeCamp, 2017]. <\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Falha est\u00e1 registrada em <\/span><a href=\"https:\/\/drownattack.com\/drown-attack-paper.pdf\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">DROWN: Breaking TLS using SSLv2<\/span><\/a><span style=\"font-weight: 400;\">.\u00a0<\/span><\/p>\n<p><b>Heartbleed &#8211; Falha em biblioteca de criptografia. <\/b><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Esta falha se deve a uma implementa\u00e7\u00e3o incorreta da extens\u00e3o TLS heartbeat no OpenSSL. Esta extens\u00e3o foi desenvolvida para manter ativa a conex\u00e3o entre dois dispositivos finais, para isso um dispositivo final envia um <\/span><i><span style=\"font-weight: 400;\">payload <\/span><\/i><span style=\"font-weight: 400;\">de dados arbitr\u00e1rios e \u00e9 esperado que o outro dispositivo envie a c\u00f3pia exata desses dados para provar que a comunica\u00e7\u00e3o entre eles est\u00e1 ativa. <\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">A falha ocorre devido \u00e0 falta de verifica\u00e7\u00e3o antes de enviar o pacote, com isso \u00e9 poss\u00edvel que o invasor falsifique o tamanho do pacote, por exemplo declarando que o pacote tem tamanho 65535 bytes quando na realidade s\u00f3 ser\u00e1 enviado 1 byte. Dessa forma, a v\u00edtima ir\u00e1 enviar um pacote contendo 65535 bytes de dados, podendo conter senha, cookie\/chave de sess\u00e3o, login, e outras informa\u00e7\u00f5es secretas que possam estar armazenadas na mem\u00f3ria do browser [Heartbleed, 2020] [FreeCodeCamp, 2017]. <\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Falha est\u00e1 registrada como <\/span><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=cve-2014-0160\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">CVE &#8211; CVE-2014-0160 (mitre.org)<\/span><\/a><span style=\"font-weight: 400;\"> .\u00a0<\/span><\/p>\n<p><b>Apple\u2019s \u201cgoto\u201d &#8211; Falha no sistema operacional e aplicativos. <\/b><b><br \/>\n<\/b><span style=\"font-weight: 400;\">Esta falha se deve a um erro no c\u00f3digo, especificamente a linha 12 que traz o m\u00e9todo \u201cgoto\u201d, isso fazia com que as linhas de c\u00f3digo 13 a 16 n\u00e3o tivessem efeito. Esse m\u00e9todo burlava todas as verifica\u00e7\u00f5es de certificado de conex\u00e3o SSL\/TLS em dispositivos Mac e iOS. Assim \u00e9 poss\u00edvel efetuar um ataque de tipo \u201c<\/span><i><span style=\"font-weight: 400;\">Man in the Middle<\/span><\/i><span style=\"font-weight: 400;\">\u201d, dado que ser\u00e1 poss\u00edvel aceitar qualquer certificado, mesmo que inv\u00e1lido [FreeCodeCamp, 2017]. <\/span><span style=\"font-weight: 400;\"><br \/>\n<\/span><span style=\"font-weight: 400;\">Falha est\u00e1 registrada como <\/span><a href=\"https:\/\/cve.mitre.org\/cgi-bin\/cvename.cgi?name=CVE-2014-1266\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">CVE &#8211; CVE-2014-1266 (mitre.org)<\/span><\/a><span style=\"font-weight: 400;\"> .\u00a0<\/span><\/p>\n<h2><b>Owasp Top 3 \u2013 Injection (Inje\u00e7\u00f5es de c\u00f3digos)<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Inje\u00e7\u00e3o, no contexto de\u00a0<\/span><i><span style=\"font-weight: 400;\">cyber\u00a0security<\/span><\/i><span style=\"font-weight: 400;\">, \u00e9 a explora\u00e7\u00e3o de uma falha computacional causada pelo processamento de dados inv\u00e1lidos. Essa falha \u00e9 ent\u00e3o utilizada por um invasor para introduzir (ou &#8220;injetar&#8221;) dados em um programa vulner\u00e1vel e alterar o seu curso de execu\u00e7\u00e3o. As consequ\u00eancias de uma\u00a0inje\u00e7\u00e3o\u00a0bem-sucedida\u00a0podem\u00a0ser\u00a0desastrosas,\u00a0como\u00a0perda\u00a0de dados,\u00a0cria\u00e7\u00e3o\u00a0de um\u00a0ambiente\u00a0que possibilite\u00a0a propaga\u00e7\u00e3o\u00a0de\u00a0c\u00f3digo\u00a0malicioso\u00a0como malwares,\u00a0ou\u00a0mesmo\u00a0total\u00a0inutiliza\u00e7\u00e3o\u00a0do\u00a0sistema.\u00a0<\/span><span style=\"font-weight: 400;\">Os\u00a0efeitos\u00a0desses\u00a0ataques\u00a0incluem:\u00a0<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Permitir\u00a0que um\u00a0atacante\u00a0execute\u00a0chamadas\u00a0do\u00a0sistema\u00a0operacional\u00a0em\u00a0uma\u00a0m\u00e1quina\u00a0alvo;\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Permitir\u00a0que um\u00a0atacante\u00a0comprometa\u00a0bases de dados;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Permitir\u00a0que um\u00a0atacante\u00a0comprometa\u00a0ou\u00a0ganhe\u00a0controle\u00a0sobre\u00a0sess\u00f5es\u00a0de outros\u00a0usu\u00e1rios;\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Permitir\u00a0que um\u00a0atacante\u00a0force\u00a0a\u00e7\u00f5es\u00a0em\u00a0nome\u00a0de outros\u00a0usu\u00e1rios\u00a0ou\u00a0servi\u00e7os.\u00a0<\/span><\/li>\n<\/ul>\n<p><b>Poss\u00edveis vulnerabilidades que devemos verificar\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Algumas das\u00a0inje\u00e7\u00f5es\u00a0mais\u00a0comuns\u00a0s\u00e3o\u00a0de SQL,\u00a0NoSQL,\u00a0comandos\u00a0do SO,\u00a0Mapeamento\u00a0Objeto-Relacional\u00a0(ORM), LDAP, e\u00a0linguagem\u00a0de\u00a0express\u00e3o\u00a0(EL) ou\u00a0biblioteca\u00a0de\u00a0navega\u00e7\u00e3o\u00a0em\u00a0objetos\u00a0grafos (OGNL).\u00a0 O\u00a0conceito\u00a0\u00e9\u00a0id\u00eantico\u00a0para\u00a0todos\u00a0os\u00a0interpretadores.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">A aplica\u00e7\u00e3o \u00e9 vulner\u00e1vel a falhas de inje\u00e7\u00f5es de c\u00f3digo quando [OWASP A03, 2021]:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dados fornecidos pelo usu\u00e1rio n\u00e3o s\u00e3o propriamente validados, filtrados ou sanitizados pela aplica\u00e7\u00e3o;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Consultas din\u00e2micas ou chamadas n\u00e3o parametrizadas sem escape adequado de caracteres s\u00e3o executados diretamente no interpretador;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dados hostis s\u00e3o usados como par\u00e2metros de busca para extrair registros adicionais e restritos;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Dados hostis s\u00e3o diretamente usados ou concatenados na aplica\u00e7\u00e3o. O comando ou consulta carrega a estrutura de dados maliciosos em consultas din\u00e2micas, comandos, ou procedimentos armazenados.\u00a0<\/span><\/li>\n<\/ul>\n<p><b>Inje\u00e7\u00f5es de C\u00f3digo<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Inje\u00e7\u00e3o de c\u00f3digo \u00e9 o termo geral para ataques que consistem em injetar c\u00f3digo que posteriormente \u00e9 interpretado\/executado pela aplica\u00e7\u00e3o. Este tipo de ataque explora o manuseio inadequado de dados n\u00e3o confi\u00e1veis. Estes tipos de ataques geralmente s\u00e3o poss\u00edveis devido \u00e0 falta de valida\u00e7\u00e3o adequada dos dados de entrada ou sa\u00edda, como por exemplo [OWASP Code Injection, 2021]:\u00a0<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Caracteres permitidos (express\u00f5es regulares padr\u00e3o ou customizadas);<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Formato dos dados;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Quantidade de dados esperados.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Na inje\u00e7\u00e3o de c\u00f3digo o atacante \u00e9 limitado pela funcionalidade dispon\u00edvel na linguagem injetada. Por exemplo, se um atacante pode injetar c\u00f3digo PHP em uma aplica\u00e7\u00e3o para ser executado, ele \u00e9 limitado pelas capacidades do PHP.\u00a0<\/span><\/p>\n<p><b>Execu\u00e7\u00e3o de C\u00f3digo Remoto<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Execu\u00e7\u00e3o de c\u00f3digo remoto \u00e9 o termo para ataques em que o objetivo \u00e9 a execu\u00e7\u00e3o de comandos arbitr\u00e1rios no sistema operacional hospedeiro atrav\u00e9s de uma aplica\u00e7\u00e3o vulner\u00e1vel. Estes ataques s\u00e3o poss\u00edveis quando uma aplica\u00e7\u00e3o repassa dados de entrada n\u00e3o sanitizados (formul\u00e1rios, cookies, cabe\u00e7alhos HTTP, etc.) para um terminal (<\/span><i><span style=\"font-weight: 400;\">shell<\/span><\/i><span style=\"font-weight: 400;\">) do sistema. Neste ataque, os comandos do sistema fornecidos pelo atacante s\u00e3o geralmente executados com as permiss\u00f5es da aplica\u00e7\u00e3o vulner\u00e1vel. Estes ataques s\u00e3o poss\u00edveis, geralmente, por causa da valida\u00e7\u00e3o insuficiente das entradas de dados.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Na execu\u00e7\u00e3o remota de c\u00f3digos o atacante estende a funcionalidade padr\u00e3o da aplica\u00e7\u00e3o, que executa comandos do sistema, sem a necessidade de injetar c\u00f3digo. A limita\u00e7\u00e3o do atacante nesse cen\u00e1rio \u00e9 dependente do SO hospedeiro (comandos dispon\u00edveis no SO) e das permiss\u00f5es de que a aplica\u00e7\u00e3o disp\u00f5e para executar comandos\u00a0 [OWASP Command Injection, 2021].<\/span><\/p>\n<p><b>Inje\u00e7\u00f5es de SQL<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Inje\u00e7\u00e3o de SQL \u00e9 o termo para ataques que consistem em inserir uma consulta SQL atrav\u00e9s da entrada de dados do cliente para a aplica\u00e7\u00e3o. Um ataque bem-sucedido pode ler dados restritos da base de dados, modificar a base de dados (inserir\/modificar\/apagar), executar opera\u00e7\u00f5es administrativas na base de dados, recuperar o conte\u00fado de arquivos que estejam presentes no sistema de arquivos do SGBD e, em alguns casos, enviar comandos para o sistema operacional.\u00a0\u00a0Esses ataques s\u00e3o particularmente comuns com aplica\u00e7\u00f5es em PHP e\/ou ASP por conta da exist\u00eancia de interfaces funcionais antigas [OWASP SQL Injection, 2021].\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Existe tamb\u00e9m o ataque cego de inje\u00e7\u00e3o SQL (Blind SQL), onde o atacante faz perguntas de verdadeiro\/falso e determina a resposta com base no retorno da aplica\u00e7\u00e3o. Este ataque \u00e9 geralmente usado quando a aplica\u00e7\u00e3o web est\u00e1 configurada para exibir mensagens gen\u00e9ricas de erro, mas n\u00e3o teve mitigado o c\u00f3digo vulner\u00e1vel \u00e0 inje\u00e7\u00e3o SQL. Isso faz com que a explora\u00e7\u00e3o dessa falha seja mais dif\u00edcil, por\u00e9m n\u00e3o imposs\u00edvel. A diferen\u00e7a deste ataque para a inje\u00e7\u00e3o de SQL normal, \u00e9 o m\u00e9todo pelo qual os dados s\u00e3o obtidos [OWASP Blind SQL Injection, 2021].<\/span><\/p>\n<p><b>Cross-Site Scripting (XSS)<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Um tipo de inje\u00e7\u00e3o onde scripts maliciosos s\u00e3o injetados em sites benignos e confi\u00e1veis. Ataques XSS ocorrem quando um invasor utiliza uma aplica\u00e7\u00e3o web para enviar c\u00f3digo\u00a0malicioso\u00a0para um usu\u00e1rio diferente. Falhas que permitem esse tipo de ataque s\u00e3o relativamente comuns e ocorrem em qualquer lugar onde uma aplica\u00e7\u00e3o web utilize entrada de dados do usu\u00e1rio para a sa\u00edda que \u00e9 gerada, mas sem que haja valida\u00e7\u00e3o desta entrada. Como o navegador do usu\u00e1rio alvo vai considerar que o script veio de uma fonte confi\u00e1vel, o script malicioso pode acessar cookies e tokens de sess\u00e3o, registrar entrada do teclado, ou at\u00e9 mesmo executar a\u00e7\u00f5es maliciosas em nome das v\u00edtimas [OWASP XSS, 2021].<\/span><\/p>\n<p><b>Poss\u00edveis vulnerabilidades que devemos verificar\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">O melhor m\u00e9todo para determinar se as suas aplica\u00e7\u00f5es est\u00e3o vulner\u00e1veis a ataques de inje\u00e7\u00e3o \u00e9\u00a0com revis\u00e3o do c\u00f3digo fonte,\u00a0buscando\u00a0no c\u00f3digo todas as chamadas direcionadas para recursos externos: system,\u00a0exec,\u00a0fork,\u00a0Runtime.exec, consultas SQL, interpretadores de XML e JSON, ou a sintaxe espec\u00edfica do seu ambiente para chamar interpretadores. Adicionalmente, certificar que todos os dados fornecidos por usu\u00e1rios sejam sanitizados e que os dados fornecidos que sejam utilizados na sa\u00edda sejam adequadamente codificados quando aplic\u00e1vel.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">\u00c9 fortemente encorajado o teste automatizado de todos os par\u00e2metros, cabe\u00e7alhos,\u00a0URLs, cookies, JSON, SOAP e dados XML. As organiza\u00e7\u00f5es podem incluir ferramentas de teste de seguran\u00e7a est\u00e1ticas (SAST), din\u00e2micas (DAST) e interativas (IAST) no fluxo de CI\/CD para identificar falhas introduzidas antes que estas cheguem ao ambiente de produ\u00e7\u00e3o\u00a0[<\/span><span style=\"font-weight: 400;\">OWASP A03, 2021].<\/span><\/p>\n<p><b>Como prevenir poss\u00edveis falhas?<\/b><\/p>\n<p><b>Valida\u00e7\u00e3o de entrada\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">A valida\u00e7\u00e3o de entrada \u00e9 executada para garantir que apenas dados bem formados entrem no fluxo de trabalho de um sistema de informa\u00e7\u00e3o, prevenindo dados mal formados de persistirem na base de dados, o que pode ocasionar funcionamento incorreto de v\u00e1rios componentes posteriores na cadeia de processamento. Valida\u00e7\u00e3o de entrada deve ocorrer t\u00e3o cedo quanto poss\u00edvel no fluxo de dados, preferivelmente assim que os dados s\u00e3o recebidos da fonte externa.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Dados de todas as fontes potencialmente n\u00e3o confi\u00e1veis devem estar sujeitos \u00e0 valida\u00e7\u00e3o, o que inclui n\u00e3o apenas clientes web na\u00a0internet,\u00a0mas tamb\u00e9m fontes de dados de redes de parceiros, fornecedores, vendedores, reguladores, entre outros, j\u00e1 que estes tamb\u00e9m est\u00e3o sujeitos a comprometimento e podem come\u00e7ar a enviar dados maliciosos.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Valida\u00e7\u00e3o de entrada n\u00e3o deve ser usada como o m\u00e9todo prim\u00e1rio para preven\u00e7\u00e3o de XSS e inje\u00e7\u00e3o SQL, mas reduz significativamente o impacto se implementada de forma adequada [OWASP Injection Flaws, 2021].<\/span><\/p>\n<p><b>Regra do privil\u00e9gio m\u00ednimo\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Outro bom m\u00e9todo de prote\u00e7\u00e3o contra ataques de inje\u00e7\u00e3o \u00e9 garantir que a aplica\u00e7\u00e3o web execute com o privil\u00e9gio m\u00ednimo necess\u00e1rio para executar a pr\u00f3pria fun\u00e7\u00e3o. De modo que o servidor web n\u00e3o deve executar como o usu\u00e1rio root ou acessar uma base de dados como o DBADMIN, caso contr\u00e1rio um atacante pode abusar desses privil\u00e9gios administrativos que foram concedidos. Alguns ambientes J2EE permitem o uso da m\u00e1quina virtual Java, o que pode prevenir a execu\u00e7\u00e3o de comandos do sistema\u00a0 [OWASP Injection Flaws, 2021].<\/span><\/p>\n<p><b>Tratar exce\u00e7\u00f5es e c\u00f3digos de retorno\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Se um comando externo deve ser utilizado, qualquer informa\u00e7\u00e3o do usu\u00e1rio que esteja sendo inserida no comando deve ser rigorosamente checada. Devem ser implementados mecanismos para lidar com quaisquer erros poss\u00edveis, tempo expirado, ou bloqueios. Toda a sa\u00edda, c\u00f3digos de retorno e c\u00f3digos de erro do comando devem ser checados para certificar que o processamento\u00a0esperado\u00a0ocorreu de fato. Esta estrat\u00e9gia vai permitir, no m\u00ednimo, detectar que algo errado aconteceu. Do contr\u00e1rio, o ataque pode acontecer e passar despercebido [OWASP Injection Flaws, 2021];<\/span><\/p>\n<p><b>Evitar acesso a interpretadores externos\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Outro m\u00e9todo para se proteger contra a inje\u00e7\u00e3o \u00e9 evitar o uso de interpretadores externos sempre que poss\u00edvel. Para muitos comandos do\u00a0terminal e\/ou do sistema, existem bibliotecas espec\u00edficas que executam as mesmas fun\u00e7\u00f5es. Usar essas bibliotecas n\u00e3o envolve acesso ao\u00a0terminal do sistema, e por isso evita muitos problemas que surgem do uso dessa classe de comandos [OWASP Injection Flaws, 2021].<\/span><\/p>\n<p><b>Investigue t\u00e9cnicas de mitiga\u00e7\u00e3o espec\u00edficas para as tecnologias que a sua aplica\u00e7\u00e3o usa\u00a0<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Tipos diferentes de ataques de inje\u00e7\u00e3o requerem estrat\u00e9gias diferentes de mitiga\u00e7\u00e3o (e.g. XSS contra inje\u00e7\u00e3o de\u00a0<\/span><i><span style=\"font-weight: 400;\">templates\u00a0<\/span><\/i><span style=\"font-weight: 400;\">do lado do servidor). Revise quais tecnologias a sua aplica\u00e7\u00e3o usa e busque informa\u00e7\u00e3o sobre como prevenir ataques que abusem dessas tecnologias [OWASP Injection Flaws, 2021].<\/span><\/p>\n<h2><b>OWASP Top 4 &#8211; <\/b><b><i>Insecure Design<\/i><\/b><b> (Design Inseguro)<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">H\u00e1 diferen\u00e7as entre implementa\u00e7\u00e3o insegura e design inseguro, dado que sua origem e forma de mitigar s\u00e3o diferentes. \u00c9 poss\u00edvel que aplica\u00e7\u00f5es com design seguro apresentem implementa\u00e7\u00f5es com falhas, e isso pode ocasionar em vulnerabilidades que podem ser exploradas. N\u00e3o \u00e9 poss\u00edvel corrigir um design inseguro com implementa\u00e7\u00e3o 100% correta, dado que os controles de seguran\u00e7a necess\u00e1rios n\u00e3o foram concebidos para proteger contra alguns ataques espec\u00edficos. \u00c9 poss\u00edvel considerar que a falta de mapeamento de perfis de risco ao neg\u00f3cio contribua para um design inseguro, n\u00e3o sendo poss\u00edvel mapear corretamente o n\u00edvel de seguran\u00e7a do sistema ou da aplica\u00e7\u00e3o em desenvolvimento.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">A concep\u00e7\u00e3o de design seguro pode ser considerada uma metodologia que consiste em realizar testes para avaliar poss\u00edveis vulnerabilidades e assegurar que os sistemas\/aplica\u00e7\u00f5es estejam configurados de modo a prevenir\/garantir que ataques conhecidos n\u00e3o aconte\u00e7am, e que n\u00e3o haja vulnerabilidades conhecidas. \u00c9 necess\u00e1rio levantar hip\u00f3teses e criar condi\u00e7\u00f5es para cumprir exatamente como definido os requisitos de seguran\u00e7a mapeados. Um modelo de gest\u00e3o e intelig\u00eancia de amea\u00e7as se faz preciso, para refinar o projeto e manter os controles de seguran\u00e7a.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Todo hist\u00f3rico deve ser documentado com as falhas e amea\u00e7as identificadas, de modo que seja poss\u00edvel apoiar na identifica\u00e7\u00e3o das mesmas em projetos futuros, e contribuir com o aprendizado dos colaboradores\/desenvolvedores para melhoria na seguran\u00e7a de futuros projetos [OWASP A04, 2021].<\/span><\/p>\n<p><b>Protocolos operacionais inseguros<\/b><\/p>\n<p><span style=\"font-weight: 400;\">No campo industrial muitos protocolos de controle n\u00e3o foram desenvolvidos levando em considera\u00e7\u00e3o sua seguran\u00e7a na rede, sendo pass\u00edveis de ampla gama de ataques, pois diferentemente do setor de TI, n\u00e3o \u00e9 poss\u00edvel ficar atualizando sempre os equipamentos com patchs de corre\u00e7\u00e3o atualizados, sendo estes instalados apenas em janelas de manuten\u00e7\u00e3o. Alguns protocolos ser\u00e3o apresentados a seguir:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Modbus: utilizado em v\u00e1rios setores, foi concebido inicialmente na d\u00e9cada de 1970 nos primeiros PLCs (controlador l\u00f3gico program\u00e1vel). N\u00e3o possui autentica\u00e7\u00e3o de comunica\u00e7\u00e3o entre <\/span><i><span style=\"font-weight: 400;\">endpoints <\/span><\/i><span style=\"font-weight: 400;\">como padr\u00e3o, dado que o destinat\u00e1rio poderia receber comandos impr\u00f3prios de fonte inadequada. Podendo citar como exemplo o envio de uma mensagem, a qual necessita apenas do endere\u00e7o Modbus adequado e da chamada de fun\u00e7\u00e3o no c\u00f3digo, n\u00e3o h\u00e1 valida\u00e7\u00e3o do conte\u00fado desta mensagem. Vers\u00f5es antigas e baseadas em s\u00e9rie tem sua comunica\u00e7\u00e3o via transmiss\u00e3o, n\u00e3o existindo possibilidade de limite da fun\u00e7\u00e3o de transmiss\u00e3o em algumas vers\u00f5es. Isso possibilita que um destinat\u00e1rio atue conforme um comando indesejado, um ataque poderia impactar os dispositivos de destinat\u00e1rios indesejados, o que reduz a compreens\u00e3o da topologia de rede [Cisco Press, 2017].<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">ICCP (Inter-Control Center Communications Protocol): protocolo muito utilizado no setor de servi\u00e7os p\u00fablicos e na comunica\u00e7\u00e3o entre concession\u00e1rias. Como atua em redes diferentes, oferece grande exposi\u00e7\u00e3o, o que possibilita maiores riscos de ataques cibern\u00e9ticos. Desde sua concep\u00e7\u00e3o o ICCP foi concebido para operar em redes WAN. Apresenta duas grandes vulnerabilidades em suas vers\u00f5es iniciais, sendo a n\u00e3o exig\u00eancia de autentica\u00e7\u00e3o e aus\u00eancia de criptografia nas conex\u00f5es como padr\u00e3o, permitindo assim ataques conhecidos como Man In the Middle (MITM) [Cisco Press, 2017].<\/span><\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">OPC (OLE for Process Control): protocolo aproveitado de dom\u00ednio de TI, baseado no Microsoft Object Linking and Embedding (OLE). Este protocolo limita sua opera\u00e7\u00e3o aos n\u00edveis superiores e depende de plataformas Windows. Isso provoca uma preocupa\u00e7\u00e3o, pois a maioria roda em sistemas Windows antigos, o que possibilita s\u00e9rie de ataques em vulnerabilidades conhecidas. Outro ponto de aten\u00e7\u00e3o \u00e9 sua depend\u00eancia do protocolo RPC (Remote Procedure Call), que permite a execu\u00e7\u00e3o de uma s\u00e9rie de ataques e possui vulnerabilidades conhecidas.<\/span><\/li>\n<\/ul>\n<p><span style=\"font-weight: 400;\">Vale mencionar que no setor de ind\u00fastrias de energia el\u00e9trica alguns protocolos s\u00e3o semelhantes aos mencionados anteriormente, s\u00e3o eles MMS (61850-8.1), GOOSE (61850-8.1), SV (61850-9-2). Os protocolos GOOSE e SV n\u00e3o possuem mecanismo que assegure confiabilidade, n\u00e3o garantindo recebimento dos dados. Maiores detalhes sobre estes protocolos [Cisco Press, 2017]:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">MMS (61850-8.1): protocolo semelhante aos protocolos SCADA Modbus e IEC 60870, \u00e9 um protocolo cliente\/servidor que opera na camada de rede 3.<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">GOOSE (61850-8.1): protocolo que opera via <\/span><i><span style=\"font-weight: 400;\">multicast <\/span><\/i><span style=\"font-weight: 400;\">sobre Ethernet na camada de rede 2, possibilita que <\/span><i><span style=\"font-weight: 400;\">Intelligent Electronic Devices<\/span><\/i><span style=\"font-weight: 400;\"> (IEDs) compartilhem dados entre subesta\u00e7\u00f5es e compartimentos para sinais de disparo, medi\u00e7\u00e3o e intertravamento.\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">SV (61850-9-2): protocolo que opera via <\/span><i><span style=\"font-weight: 400;\">multicast <\/span><\/i><span style=\"font-weight: 400;\">sobre Ethernet na camada de rede 2, atua carregando amostras de corrente e tens\u00e3o no barramento de processo, tamb\u00e9m podendo ser no barramento da esta\u00e7\u00e3o.\u00a0<\/span><\/li>\n<\/ul>\n<p><b>Exemplos de cen\u00e1rios de ataque<\/b><\/p>\n<p><b>Recupera\u00e7\u00e3o de credenciais utilizando perguntas e respostas:<\/b><span style=\"font-weight: 400;\"> Essa pr\u00e1tica era muito comum h\u00e1 alguns anos atr\u00e1s atualmente, entretanto, \u00e9 uma pr\u00e1tica proibida conforme NIST 800-63b, OWASP ASVS e OWASP Top 10. Perguntas e respostas podem facilmente ser descobertas utilizando t\u00e9cnicas de engenharia social e\/ou for\u00e7a bruta e n\u00e3o servem como evid\u00eancia de identifica\u00e7\u00e3o, pois muitas pessoas podem utilizar as mesmas respostas. \u00c9 necess\u00e1rio um tipo de design mais seguro para recupera\u00e7\u00e3o de credenciais, como utiliza\u00e7\u00e3o de Biometria, SMS, entre outros [OWASP A04, 2021].<\/span><\/p>\n<p><b>Modifica\u00e7\u00e3o de promo\u00e7\u00e3o:<\/b><span style=\"font-weight: 400;\"> Supondo alguns cupons de desconto de uma rede de lojas, restaurantes, ou demais estabelecimentos comerciais \u00e9 poss\u00edvel alterar o limite de cupons para n\u00famero ilimitado, ou o valor, ocasionando em grandes perdas financeiras. Podendo corrigir fazendo valida\u00e7\u00e3o pr\u00e9via do sistema de emiss\u00e3o de cupons, bem como utilizar <\/span><i><span style=\"font-weight: 400;\">blockchain<\/span><\/i><span style=\"font-weight: 400;\"> [OWASP A04, 2021].<\/span><\/p>\n<p><b>Utiliza\u00e7\u00e3o de <\/b><b><i>bots<\/i><\/b><b>:<\/b><span style=\"font-weight: 400;\"> Plataforma de varejo em e-commerce n\u00e3o possui prote\u00e7\u00e3o contra <\/span><i><span style=\"font-weight: 400;\">bots<\/span><\/i><span style=\"font-weight: 400;\">, \u00e9 poss\u00edvel que em dada promo\u00e7\u00e3o <\/span><i><span style=\"font-weight: 400;\">bots <\/span><\/i><span style=\"font-weight: 400;\">programados comprem todo o estoque de um produto e revendam em sites de leil\u00f5es, ou fa\u00e7am transa\u00e7\u00f5es suspeitas. Para corrigir este problema \u00e9 necess\u00e1rio utilizar design anti-<\/span><i><span style=\"font-weight: 400;\">bot<\/span><\/i><span style=\"font-weight: 400;\"> e regras de l\u00f3gica de dom\u00ednio, pois assim evitaria que compras e transa\u00e7\u00f5es suspeitas sejam feitas em t\u00e3o pouco tempo [OWASP A04, 2021].<\/span><\/p>\n<p><b>Formas de prevenir design inseguro<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Algumas formas de prevenir essa falha s\u00e3o [OWASP A04, 2021]:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Utilizar bibliotecas padr\u00f5es para projetos seguros;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Estabelecer ciclo de vida de desenvolvimento seguro com profissionais de AppSec para avaliar\/validar a seguran\u00e7a do projeto e prestar consultoria sobre controles de seguran\u00e7a e privacidade;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Efetuar verifica\u00e7\u00f5es de seguran\u00e7a em todas as camadas do projeto, partindo do front-end e indo ao <\/span><i><span style=\"font-weight: 400;\">back-end<\/span><\/i><span style=\"font-weight: 400;\">, verificando tamb\u00e9m os bancos de dados;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Estabelecer e utilizar modelagem de amea\u00e7a para controles de acesso, autentica\u00e7\u00f5es cr\u00edticas, l\u00f3gica de neg\u00f3cio;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Validar se todos os fluxos cr\u00edticos s\u00e3o resilientes aos modelos de amea\u00e7a estabelecidos;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Limite os recursos por usu\u00e1rio ou servi\u00e7o, seguindo a l\u00f3gica Zero Trust.\u00a0<\/span><\/li>\n<\/ul>\n<h2><b>OWASP Top 5 &#8211; <\/b><b><i>Security Misconfiguration <\/i><\/b><b>(Configura\u00e7\u00e3o Insegura)<\/b><\/h2>\n<p><span style=\"font-weight: 400;\">Podemos considerar as falhas por configura\u00e7\u00e3o insegura como f\u00e1ceis de explorar, visto que em muitos casos as configura\u00e7\u00f5es padr\u00f5es s\u00e3o mantidas. Isso se deve ao fato de administradores de sistemas e\/ou banco de dados e\/ou desenvolvedores n\u00e3o se adequarem corretamente ao framework de seguran\u00e7a de aplicativos, cloud, servidores, e sites web. Aproximadamente 75% a 85% das vulnerabilidades comuns encontradas s\u00e3o devido a configura\u00e7\u00f5es inseguras.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Se tratando de ambientes em cloud, os principais riscos e amea\u00e7as s\u00e3o decorrentes de configura\u00e7\u00f5es inseguras, correspondendo de 65% a 70% de vulnerabilidades identificadas nos principais servi\u00e7os. Est\u00e3o tamb\u00e9m entre as principais causas de vazamento massivo de informa\u00e7\u00f5es sigilosas em entidades governamentais [Trend Micro, 2021].<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Podemos identificar como principais falhas de configura\u00e7\u00e3o [OWASP A05, 2021]:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Uso de software vulner\u00e1vel ou descontinuado;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Credenciais padr\u00f5es ativas;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">N\u00e3o seguir framework e pol\u00edticas de seguran\u00e7a no desenvolvimento de servi\u00e7os e\/ou aplica\u00e7\u00f5es e\/ou configura\u00e7\u00f5es indevidas de permiss\u00f5es em servi\u00e7os que utilizam cloud;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Ferramentas desnecess\u00e1rias instaladas e\/ou ativas, como servi\u00e7os\/aplica\u00e7\u00f5es\/p\u00e1ginas rodando em portas desnecess\u00e1rias;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Ferramentas de seguran\u00e7a desativadas ou n\u00e3o configuradas corretamente;\u00a0<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Tratamento inadequado a mensagens de erro, podendo trazer informa\u00e7\u00f5es como vers\u00e3o de algum software ou informa\u00e7\u00f5es sens\u00edveis, possibilitando reconhecimento por parte de invasores;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Servidor n\u00e3o envia <\/span><i><span style=\"font-weight: 400;\">headers <\/span><\/i><span style=\"font-weight: 400;\">seguros, ou n\u00e3o h\u00e1 configura\u00e7\u00e3o adequada para isto;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">As configura\u00e7\u00f5es de seguran\u00e7a em servidores e frameworks de aplica\u00e7\u00f5es, banco de dados, bibliotecas n\u00e3o est\u00e3o com par\u00e2metros adequados.\u00a0<\/span><\/li>\n<\/ul>\n<p><b>Exemplos de cen\u00e1rios de ataques<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Um exemplo que possibilita esse tipo de ataque \u00e9 quando as configura\u00e7\u00f5es do servidor permitem apresenta\u00e7\u00e3o de mensagens detalhadas de erro, como n\u00famero da vers\u00e3o do sistema ou outras informa\u00e7\u00f5es que possam indicar os sistemas rodando em <\/span><i><span style=\"font-weight: 400;\">back-end<\/span><\/i><span style=\"font-weight: 400;\">, permitindo que o invasor encontre formas de invadir o sistema [OWASP A05, 2021].<\/span><\/p>\n<p><span style=\"font-weight: 400;\">Em provedores de servi\u00e7os em nuvem (CSP) frequentemente ocorre essa vulnerabilidade devido \u00e0s permiss\u00f5es de compartilhamento padr\u00e3o, as quais s\u00e3o abertas para a internet, possibilitando assim que os dados armazenados sejam acessados por invasores. Para evitar isso, \u00e9 necess\u00e1rio alterar essas permiss\u00f5es e manter uma pol\u00edtica r\u00edgida para prote\u00e7\u00e3o dos dados e configura\u00e7\u00e3o de regras\/permiss\u00f5es em servi\u00e7os de cloud [OWASP A05, 2021].<\/span><\/p>\n<p><span style=\"font-weight: 400;\">No caso de servidores de aplica\u00e7\u00f5es, estes normalmente v\u00eam com algumas ferramentas de exemplo instaladas no servidor de produ\u00e7\u00e3o, as quais possuem vulnerabilidades conhecidas e com credenciais padr\u00e3o, facilitando para o invasor. Sempre \u00e9 indicado ter instalado apenas ferramentas que s\u00e3o realmente utilizadas, removendo totalmente todas as outras, bem como alterando as credenciais de acesso.\u00a0 Outra vulnerabilidade comum em servidores est\u00e1 relacionada com a permiss\u00e3o para listagem de diret\u00f3rios. Se esta n\u00e3o foi removida do servidor, um invasor pode listar diret\u00f3rios e baixar arquivos e c\u00f3digos fonte da p\u00e1gina, levando a descoberta de outras vulnerabilidades [OWASP A05, 2021].<\/span><\/p>\n<p><b>Formas de prevenir falhas por configura\u00e7\u00e3o insegura<\/b><\/p>\n<p><span style=\"font-weight: 400;\">Algumas pol\u00edticas e a\u00e7\u00f5es para evitar falhas por configura\u00e7\u00e3o insegura e prevenir ataques [OWASP A05, 2021]:<\/span><\/p>\n<ul>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Arquitetura de aplica\u00e7\u00e3o segmentada entrega separa\u00e7\u00e3o segura e eficaz entre componentes, com conteineriza\u00e7\u00e3o, grupos de seguran\u00e7a em nuvem (ACL) e segmenta\u00e7\u00e3o;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Processo automatizado para verifica\u00e7\u00e3o da efici\u00eancia das configura\u00e7\u00f5es e as configura\u00e7\u00f5es de todos os ambientes;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Desinstale ou n\u00e3o fa\u00e7a instala\u00e7\u00e3o de ferramentas\/recursos ou frameworks que n\u00e3o ser\u00e3o utilizados. Simplifica\u00e7\u00e3o da plataforma, com uso do m\u00ednimo de recursos, ferramentas, componentes, amostras e documenta\u00e7\u00f5es desnecess\u00e1rias;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Adotar processos de prote\u00e7\u00e3o repetitivos e automatizados. Utilizar credenciais diferentes, mas mesmo processo de cria\u00e7\u00e3o de ambientes para ambiente de produ\u00e7\u00e3o, desenvolvimento e controle de qualidade;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Enviar diretivas de seguran\u00e7a a clientes, como <\/span><i><span style=\"font-weight: 400;\">headers <\/span><\/i><span style=\"font-weight: 400;\">de seguran\u00e7a;<\/span><\/li>\n<li style=\"font-weight: 400;\" aria-level=\"1\"><span style=\"font-weight: 400;\">Revisar as regras\/permiss\u00f5es de armazenamento e trabalho em nuvem, e gerenciar a atualiza\u00e7\u00e3o de configura\u00e7\u00f5es e instala\u00e7\u00e3o de novos patches.\u00a0\u00a0<\/span><\/li>\n<\/ul>\n<p><b>Refer\u00eancias<\/b><\/p>\n<p><span style=\"font-weight: 400;\">[Acunetix , 2020] The Acunetix Blog, por Tomasz Andrzej Nidecki. What Are Insecure Direct Object References. Mar\u00e7o, 2020. URL: <\/span><a href=\"https:\/\/www.acunetix.com\/blog\/web-security-zone\/what-are-insecure-direct-object-references\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.acunetix.com\/blog\/web-security-zone\/what-are-insecure-direct-object-references\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Oreilly, 2022] Oreilly. Insecure Direct Object References. 2022. URL: <\/span><a href=\"https:\/\/www.oreilly.com\/library\/view\/securing-node-applications\/9781491982426\/ch04.html\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.oreilly.com\/library\/view\/securing-node-applications\/9781491982426\/ch04.html<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em: 12\/01\/2022.\u00a0\u00a0<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP A01, 2022] OWASP Foundation, Inc. A01:2021 \u2013 Broken Access Control. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/Top10\/A01_2021-Broken_Access_Control\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/Top10\/A01_2021-Broken_Access_Control\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Spanning, 2020] Spanning blog, por Shyam Oza. Insecure Direct Object Reference (IDOR) \u2014 Web-based Application Security, Part 6. Fevereiro, 2020. URL: <\/span><a href=\"https:\/\/spanning.com\/blog\/insecure-direct-object-reference-web-based-application-security-part-6\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/spanning.com\/blog\/insecure-direct-object-reference-web-based-application-security-part-6\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[PortSwigger , 2022] PortSwigger Web Security Academy. Insecure direct object references (IDOR). 2022. URL: <\/span><a href=\"https:\/\/portswigger.net\/web-security\/access-control\/idor\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/portswigger.net\/web-security\/access-control\/idor<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP A02, 2021] OWASP Foundation, Inc. A02:2021 \u2013 Cryptographic Failures. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/Top10\/A02_2021-Cryptographic_Failures\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/Top10\/A02_2021-Cryptographic_Failures\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[FreeCodeCamp, 2017] FreeCodeCamp, por Nabeel Yoosuf. The many, many ways that cryptographic software can fail. Janeiro de 2017. URL: <\/span><a href=\"https:\/\/www.freecodecamp.org\/news\/why-does-cryptographic-software-fail-often-d660d3cdfdc5\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.freecodecamp.org\/news\/why-does-cryptographic-software-fail-often-d660d3cdfdc5\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Heartbleed, 2020] Heartbleed. The Heartbleed Bug. Junho de 2020. URL: <\/span><a href=\"https:\/\/heartbleed.com\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/heartbleed.com\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[<\/span><span style=\"font-weight: 400;\">OWASP A03, 2021]<\/span><span style=\"font-weight: 400;\"> OWASP Foundation, Inc. A03:2021 \u2013<\/span><span style=\"font-weight: 400;\"> Injection. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/Top10\/A03_2021-Injection\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/Top10\/A03_2021-Injection\/<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP <\/span><span style=\"font-weight: 400;\">Code Injection, 2021] <\/span><span style=\"font-weight: 400;\">OWASP Foundation, Inc.<\/span><span style=\"font-weight: 400;\"> Code Injection<\/span><span style=\"font-weight: 400;\">. 2021. URL: <\/span><span style=\"font-weight: 400;\">\u00a0. Acessado em <\/span><span style=\"font-weight: 400;\">12\/01\/2021<\/span><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-community\/attacks\/Code_Injection<\/span><span style=\"font-weight: 400;\"> . Acessado em 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP Command Injection, 2021] OWASP Foundation, Inc. Command Injection. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/www-community\/attacks\/Command_Injection\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-community\/attacks\/Command_Injection<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP SQL Injection, 2021] OWASP Foundation, Inc. SQL Injection. 2021. URL:\u00a0 <\/span><span style=\"font-weight: 400;\">. Acessado em <\/span><span style=\"font-weight: 400;\">12\/01\/2021<\/span><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-community\/attacks\/SQL_Injection<\/span><span style=\"font-weight: 400;\"> . Acessado em 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP Blind SQL Injection, 2021] OWASP Foundation, Inc. Blind SQL Injection. 2020. URL:\u00a0 . <\/span><span style=\"font-weight: 400;\">Acessado em <\/span><span style=\"font-weight: 400;\">12\/01\/2021<\/span><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-community\/attacks\/Blind_SQL_Injection<\/span><span style=\"font-weight: 400;\"> . Acessado em 12\/01\/2022<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP XSS, 2021] OWASP Foundation Inc. Cross Site Scripting (XSS). 2021. URL:\u00a0 . <\/span><span style=\"font-weight: 400;\">Acessado em <\/span><span style=\"font-weight: 400;\">12\/01\/2021 <\/span><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-community\/attacks\/xss\/<\/span><span style=\"font-weight: 400;\"> . Acessado em 12\/01\/2022<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP Injection Flaws, 2021] OWASP Foundation, Inc. Injection Flaws. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/www-community\/Injection_Flaws\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-community\/Injection_Flaws<\/span><\/a><span style=\"font-weight: 400;\"> . <\/span><span style=\"font-weight: 400;\">Acessado em <\/span><span style=\"font-weight: 400;\">12\/01\/2022<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP Web Security, 2021] OWASP Foundation, Inc. Web Security Testing Guide. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/www-project-web-security-testing-guide\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/www-project-web-security-testing-guide\/<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em: 12\/01\/2022<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP A04, 2021] OWASP Foundation, Inc. A04:2021 \u2013 Insecure Design. 2021. URL: <\/span><a href=\"https:\/\/owasp.org\/Top10\/A04_2021-Insecure_Design\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/Top10\/A04_2021-Insecure_Design\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Cisco Press, 2017] Pearson Education, Cisco Press. Securing IoT &#8211; Common Challenges in OT Security. 2017. URL: <\/span><a href=\"https:\/\/www.ciscopress.com\/articles\/article.asp?p=2803867&amp;seqNum=2\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.ciscopress.com\/articles\/article.asp?p=2803867&amp;seqNum=2<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[NetworkComputing, 2021] NetworkComputing, por Sam Bocetta. Misconfigurations: Still the Biggest Threat to Cloud Security. Agosto, 2021. URL: <\/span><a href=\"https:\/\/www.networkcomputing.com\/cloud-infrastructure\/misconfigurations-still-biggest-threat-cloud-security\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.networkcomputing.com\/cloud-infrastructure\/misconfigurations-still-biggest-threat-cloud-security<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[The Internet of Things on AWS, 2021] Ten security golden rules for industrial IoT Solutions. 2021. URL: <\/span><a href=\"https:\/\/aws.amazon.com\/blogs\/iot\/ten-security-golden-rules-for-industrial-iot-solutions\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/aws.amazon.com\/blogs\/iot\/ten-security-golden-rules-for-industrial-iot-solutions\/<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Thales Group, 2022] IoT Security by Design (Step by Step). 2022. URL: <\/span><a href=\"https:\/\/www.thalesgroup.com\/en\/markets\/digital-identity-and-security\/iot\/iot-security\/key-principles\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.thalesgroup.com\/en\/markets\/digital-identity-and-security\/iot\/iot-security\/key-principles<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Outpost24, 2020] Outpost24, por Sergio Loureiro. What are Security Misconfigurations and how to prevent them?. Junho, 2020. URL: <\/span><a href=\"https:\/\/outpost24.com\/blog\/What-are-security-misconfigurations-and-how-to-prevent-them\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/outpost24.com\/blog\/What-are-security-misconfigurations-and-how-to-prevent-them<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[OWASP A05, 2021] OWASP Foundation, Inc. A05:2021 \u2013 Security Misconfiguration. 2022. URL: <\/span><a href=\"https:\/\/owasp.org\/Top10\/A05_2021-Security_Misconfiguration\/\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/owasp.org\/Top10\/A05_2021-Security_Misconfiguration\/<\/span><\/a><span style=\"font-weight: 400;\">. Acessado em: 12\/01\/2022.<\/span><\/p>\n<p><span style=\"font-weight: 400;\">[Trend Micro, 2021] Trend Micro. The Most Common Cloud Misconfiguration That Could Lead to Security Breaches. 2021. URL: <\/span><a href=\"https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/virtualization-and-cloud\/the-most-common-cloud-misconfigurations-that-could-lead-to-security-breaches\" target=\"_blank\" rel=\"noopener\"><span style=\"font-weight: 400;\">https:\/\/www.trendmicro.com\/vinfo\/us\/security\/news\/virtualization-and-cloud\/the-most-common-cloud-misconfigurations-that-could-lead-to-security-breaches<\/span><\/a><span style=\"font-weight: 400;\"> . Acessado em: 12\/01\/2022.<\/span><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Autores: Luiz Casagrande e Luan Uchoa Ataques cibern\u00e9ticos sempre foram [&hellip;]<\/p>\n","protected":false},"author":36,"featured_media":52346,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"inline_featured_image":false,"footnotes":""},"categories":[125],"tags":[],"coauthors":[210],"class_list":["post-52775","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-information-security"],"acf":[],"yoast_head":"<!-- This site is optimized with the Yoast SEO plugin v26.7 - https:\/\/yoast.com\/wordpress\/plugins\/seo\/ -->\n<title>Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web - Instituto Eldorado<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web - Instituto Eldorado\" \/>\n<meta property=\"og:description\" content=\"Autores: Luiz Casagrande e Luan Uchoa Ataques cibern\u00e9ticos sempre foram [&hellip;]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\" \/>\n<meta property=\"og:site_name\" content=\"Instituto Eldorado\" \/>\n<meta property=\"article:published_time\" content=\"2022-02-08T12:14:00+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2022-03-03T19:29:43+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1000\" \/>\n\t<meta property=\"og:image:height\" content=\"667\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Luiz Vitorio Isaac Costa Casagrande\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Luiz Vitorio Isaac Costa Casagrande\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"31 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\"},\"author\":{\"name\":\"Luiz Vitorio Isaac Costa Casagrande\",\"@id\":\"https:\/\/www.eldorado.org.br\/#\/schema\/person\/d8049ce91c8fda39658dcf39d05ba01a\"},\"headline\":\"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web\",\"datePublished\":\"2022-02-08T12:14:00+00:00\",\"dateModified\":\"2022-03-03T19:29:43+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\"},\"wordCount\":6311,\"commentCount\":0,\"image\":{\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg\",\"articleSection\":[\"Information security\"],\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"CommentAction\",\"name\":\"Comment\",\"target\":[\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#respond\"]}]},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\",\"url\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\",\"name\":\"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web - Instituto Eldorado\",\"isPartOf\":{\"@id\":\"https:\/\/www.eldorado.org.br\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg\",\"datePublished\":\"2022-02-08T12:14:00+00:00\",\"dateModified\":\"2022-03-03T19:29:43+00:00\",\"author\":{\"@id\":\"https:\/\/www.eldorado.org.br\/#\/schema\/person\/d8049ce91c8fda39658dcf39d05ba01a\"},\"breadcrumb\":{\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage\",\"url\":\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg\",\"contentUrl\":\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg\",\"width\":1000,\"height\":667},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.eldorado.org.br\/en\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.eldorado.org.br\/#website\",\"url\":\"https:\/\/www.eldorado.org.br\/\",\"name\":\"Instituto Eldorado\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.eldorado.org.br\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.eldorado.org.br\/#\/schema\/person\/d8049ce91c8fda39658dcf39d05ba01a\",\"name\":\"Luiz Vitorio Isaac Costa Casagrande\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.eldorado.org.br\/#\/schema\/person\/image\/0921282ca4ce15c947bf623bdfbf4911\",\"url\":\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/attachment_QYtWytTL-150x150.jpg\",\"contentUrl\":\"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/attachment_QYtWytTL-150x150.jpg\",\"caption\":\"Luiz Vitorio Isaac Costa Casagrande\"},\"description\":\"Departamento de Computa\u00e7\u00e3o Embarcada do Instituto ELDORADO\"}]}<\/script>\n<!-- \/ Yoast SEO plugin. -->","yoast_head_json":{"title":"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web - Instituto Eldorado","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/","og_locale":"en_US","og_type":"article","og_title":"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web - Instituto Eldorado","og_description":"Autores: Luiz Casagrande e Luan Uchoa Ataques cibern\u00e9ticos sempre foram [&hellip;]","og_url":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/","og_site_name":"Instituto Eldorado","article_published_time":"2022-02-08T12:14:00+00:00","article_modified_time":"2022-03-03T19:29:43+00:00","og_image":[{"width":1000,"height":667,"url":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg","type":"image\/jpeg"}],"author":"Luiz Vitorio Isaac Costa Casagrande","twitter_card":"summary_large_image","twitter_misc":{"Written by":"Luiz Vitorio Isaac Costa Casagrande","Est. reading time":"31 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#article","isPartOf":{"@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/"},"author":{"name":"Luiz Vitorio Isaac Costa Casagrande","@id":"https:\/\/www.eldorado.org.br\/#\/schema\/person\/d8049ce91c8fda39658dcf39d05ba01a"},"headline":"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web","datePublished":"2022-02-08T12:14:00+00:00","dateModified":"2022-03-03T19:29:43+00:00","mainEntityOfPage":{"@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/"},"wordCount":6311,"commentCount":0,"image":{"@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage"},"thumbnailUrl":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg","articleSection":["Information security"],"inLanguage":"en-US","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/","url":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/","name":"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web - Instituto Eldorado","isPartOf":{"@id":"https:\/\/www.eldorado.org.br\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage"},"image":{"@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage"},"thumbnailUrl":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg","datePublished":"2022-02-08T12:14:00+00:00","dateModified":"2022-03-03T19:29:43+00:00","author":{"@id":"https:\/\/www.eldorado.org.br\/#\/schema\/person\/d8049ce91c8fda39658dcf39d05ba01a"},"breadcrumb":{"@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#primaryimage","url":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg","contentUrl":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/shutterstock_1794130912.jpg","width":1000,"height":667},{"@type":"BreadcrumbList","@id":"https:\/\/www.eldorado.org.br\/en\/blog\/boas-praticas-em-cyber-security-para-aplicacoes-web\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.eldorado.org.br\/en\/"},{"@type":"ListItem","position":2,"name":"Boas pr\u00e1ticas em Cyber Security para aplica\u00e7\u00f5es Web"}]},{"@type":"WebSite","@id":"https:\/\/www.eldorado.org.br\/#website","url":"https:\/\/www.eldorado.org.br\/","name":"Instituto Eldorado","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.eldorado.org.br\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Person","@id":"https:\/\/www.eldorado.org.br\/#\/schema\/person\/d8049ce91c8fda39658dcf39d05ba01a","name":"Luiz Vitorio Isaac Costa Casagrande","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.eldorado.org.br\/#\/schema\/person\/image\/0921282ca4ce15c947bf623bdfbf4911","url":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/attachment_QYtWytTL-150x150.jpg","contentUrl":"https:\/\/www.eldorado.org.br\/wp-content\/uploads\/2022\/02\/attachment_QYtWytTL-150x150.jpg","caption":"Luiz Vitorio Isaac Costa Casagrande"},"description":"Departamento de Computa\u00e7\u00e3o Embarcada do Instituto ELDORADO"}]}},"_links":{"self":[{"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/posts\/52775","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/users\/36"}],"replies":[{"embeddable":true,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/comments?post=52775"}],"version-history":[{"count":0,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/posts\/52775\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/media\/52346"}],"wp:attachment":[{"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/media?parent=52775"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/categories?post=52775"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/tags?post=52775"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/www.eldorado.org.br\/en\/wp-json\/wp\/v2\/coauthors?post=52775"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}