Projeto 1 — Laboratório XSS Seguro: entender, testar e mitigar

Objetivo: observar como ataques de XSS funcionam na prática, medir o impacto e aplicar mitigadores de saída (output encoding) e políticas de conteúdo. Ao final, você terá um fluxo simples que reduz drasticamente a superfície de ataque.

• Reproduzir cenários básicos de XSS refletido em páginas de entrada de usuário.
• Aplicar escaping de saída para HTML, atributos e scripts.
• Configurar Content Security Policy (CSP) para reduzir a eficácia de payloads.
• Validar entradas no servidor para reduzir a chance de injeção acidental.

// Função simples de escape para prevenir XSS na saída de HTML
function escapeHtml(input) {
  return String(input)
    .replace(/&/g, "&")
    .replace(//g, ">")
    .replace(/"/g, """)
    .replace(/'/g, "'");
}
      

Boas práticas recomendadas:
– Sempre escape o conteúdo vindo de usuários antes de inserir no DOM ou renderizar HTML.
– Prefira manipulação de DOM segura (textContent, setAttribute) em vez de innerHTML sempre que possível.
– Use CSP com nonce para scripts autorizados e evite 'unsafe-inline' quando viável.

Projeto 2 — Proteção contra CSRF: tokens e cookies

Objetivo: compreender e mitigar CSRF em formulários que realizam operações sensíveis (alteração de dados, mudanças de senha, operações financeiras). Configurações recomendadas, tokens anti-CSRF e uso adequado de cookies.

• Ação sensível exige verificação de token único para cada requisição.
• Cookies com SameSite, HttpOnly e Secure reduzem a superfície de ataque.
• Tokens devem ser gerados de forma imprevisível e armazenados no servidor (ou em sessão segura).

Exemplo conceitual de fluxo (sem código de servidor exaustivo):
– Ao renderizar o formulário, inclua um CSRF token único na página.
– Ao submeter, o servidor valida o token recebido em relação ao token armazenado na sessão.
– Em caso de falha, rejeite a requisição com status 403.

Projeto 3 — Defesa contra Injeção de SQL com consultas parametrizadas

Objetivo: eliminar vulnerabilidades de injeção SQL em aplicações que interagem com bancos de dados. O foco here está em consultas parametrizadas e uso adequado de ORM/driver para separar código de dados.

• Use consultas parametrizadas para todos inputs externos.
• Valide e saneie inputs onde aplicável, especialmente para comandos de administração ou menú inputs.
• Evite construção dinâmica de SQL com concatenação de strings.

Conceito de prática com SQL parametrizado (descrição):

• Exemplo: buscar usuário por e-mail usando parâmetros.
• Evita que inputs maliciosos sejam interpretados como parte do comando SQL.

Projeto 4 — Segurança de autenticação e gestão de sessões

Objetivo: fortalecer o ciclo de vida de autenticação, com armazenamento seguro de senhas, proteção de sessões e prevenção a ataques de força bruta.

• Hash de senhas com uso de bcrypt (ou argon2) com custo adequado.
• Cookies HttpOnly e Secure; atributos de sessão com expiração apropriada.
• Rate limiting, MFA opcional e monitoramento de padrões suspeitos.

Práticas recomendadas para implementação segura:
– Nunca armazenar senhas em texto; sempre usar hashing com salt único por usuário.
– Use sessões no servidor ou tokens com validação robusta; evite armazenar dados sensíveis no cliente.
– Proteja endpoints de login contra repetição de tentativas com limitação de taxa e monitoramento.