Programa do Curso

Introdução

  • Descrição geral de OWASP, seu objetivo e importância para a segurança da Web
  • Explicação da lista dos OWASP Top 10
    • A01:2021-Controlo Access quebrado sobe da quinta posição; 94% das aplicações foram testadas quanto a alguma forma de controlo de acesso quebrado. As 34 enumerações de fraquezas comuns (CWEs) mapeadas para o controlo Access quebrado tiveram mais ocorrências em aplicações do que qualquer outra categoria.
    • A02:2021 - Falhas criptográficas - sobe uma posição para o n.º 2, anteriormente conhecido como Exposição de dados sensíveis, que era um sintoma geral e não uma causa principal. O foco renovado aqui é em falhas relacionadas com a criptografia, que muitas vezes leva à exposição de dados sensíveis ou ao comprometimento do sistema.
    • A03:2021-Injeção desce para a terceira posição. 94% das aplicações foram testadas quanto a alguma forma de injeção, e as 33 CWEs mapeadas nesta categoria têm o segundo maior número de ocorrências em aplicações. O Cross-site Scripting faz agora parte desta categoria nesta edição.
    • A04:2021-Conceção Insegura é uma nova categoria para 2021, centrada nos riscos relacionados com falhas de conceção. Se quisermos realmente "avançar para a esquerda" como indústria, é necessária uma maior utilização da modelação de ameaças, de padrões e princípios de conceção seguros e de arquitecturas de referência.
    • A05:2021 - A configuração incorrecta da segurança passa do 6º lugar na edição anterior; 90% das aplicações foram testadas quanto a alguma forma de configuração incorrecta. Com mais mudanças para software altamente configurável, não é surpreendente ver esta categoria subir. A antiga categoria de XML Entidades Externas (XXE) faz agora parte desta categoria.
    • A06:2021-Componentes vulneráveis e desactualizados era anteriormente intitulada Utilizar componentes com vulnerabilidades conhecidas e é a 2.ª no inquérito da comunidade aos 10 principais, mas também tinha dados suficientes para entrar no Top 10 através da análise de dados. Esta categoria subiu da 9ª posição em 2017 e é um problema conhecido que temos dificuldade em testar e avaliar o risco. É a única categoria que não tem qualquer Vulnerabilidade e Exposições Comuns (CVE) mapeadas para as CWEs incluídas, pelo que um exploit predefinido e pesos de impacto de 5,0 são tidos em conta nas suas pontuações.
    • A07:2021-Falhas de identificação e autenticação era anteriormente Autenticação quebrada e está a descer da segunda posição, incluindo agora CWEs que estão mais relacionadas com falhas de identificação. Esta categoria continua a ser uma parte integrante do Top 10, mas a maior disponibilidade de estruturas normalizadas parece estar a ajudar.
    • A08:2021-Falhas de integridade de software e dados é uma nova categoria para 2021, com foco em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines de CI/CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados do Common Vulnerability and Exposures/Common Vulnerability Scoring System (CVE/CVSS) foi mapeado para as 10 CWEs nesta categoria. A desserialização insegura de 2017 faz agora parte desta categoria mais alargada.
    • A09:2021-Falhas no Registo eMonitorização de Segurança era anteriormente Registo e Monitorização Insuficientes e foi adicionada a partir do inquérito ao sector (#3), subindo da #10 anterior. Esta categoria é expandida para incluir mais tipos de falhas, é difícil de testar e não está bem representada nos dados CVE/CVSS. No entanto, as falhas nesta categoria podem afetar diretamente a visibilidade, o alerta de incidentes e a análise forense.
    • A10:2021 - Falsificação de pedidos do lado do servidor é adicionado a partir do inquérito da comunidade Top 10 (#1). Os dados mostram uma taxa de incidência relativamente baixa com cobertura de testes acima da média, juntamente com classificações acima da média para potencial de exploração e impacto. Esta categoria representa o cenário em que os membros da comunidade de segurança estão a dizer-nos que isto é importante, apesar de não estar ilustrado nos dados neste momento.

Controlo Access quebrado

  • Exemplos práticos de controlos de acesso danificados
  • Controlos de acesso seguros e melhores práticas

Falhas criptográficas

  • Análise detalhada de falhas criptográficas, como algoritmos de encriptação fracos ou gestão inadequada de chaves
  • Importância de mecanismos criptográficos fortes, protocolos seguros (SSL/TLS) e exemplos de criptografia moderna na segurança da Web

Ataques de injeção

  • Análise pormenorizada da injeção SQL, NoSQL, OS e LDAP
  • Técnicas de atenuação usando instruções preparadas, consultas parametrizadas e entradas de escape

Design inseguro

  • Explorando falhas de design que podem levar a vulnerabilidades, como validação de entrada inadequada
  • Estratégias para arquitetura segura e princípios de conceção segura

Configuração incorrecta da segurança

  • Exemplos reais de configurações incorrectas
  • Passos para evitar a configuração incorrecta, incluindo gestão de configuração e ferramentas de automatização

Componentes vulneráveis e desactualizados

  • Identificação dos riscos da utilização de bibliotecas e estruturas vulneráveis
  • Melhores práticas para gestão de dependências e actualizações

Falhas de identificação e autenticação

  • Problemas comuns de autenticação
  • Estratégias de autenticação segura, como autenticação multifator e tratamento adequado de sessões

Falhas na integridade do software e dos dados

  • Foco em problemas como actualizações de software não fiáveis e adulteração de dados
  • Mecanismos de atualização seguros e verificações da integridade dos dados

Falhas no registo de segurança e na monitorização

  • Importância do registo de informações relevantes para a segurança e da monitorização de actividades suspeitas
  • Ferramentas e práticas para um registo adequado e monitorização em tempo real para detetar violações precocemente

Falsificação de pedidos do lado do servidor (SSRF)

  • Explicação de como os atacantes exploram as vulnerabilidades SSRF para aceder a sistemas internos
  • Tácticas de atenuação, incluindo validação de entrada adequada e configurações de firewall

Melhores práticas e codificação segura

  • Discussão exaustiva sobre as melhores práticas de codificação segura
  • Ferramentas para deteção de vulnerabilidades

Resumo e próximos passos

Requisitos

  • Compreensão geral do ciclo de vida do desenvolvimento Web
  • Experiência em desenvolvimento e segurança de aplicações Web

Público

  • Desenvolvedores Web
  • Líderes
 14 Horas

Número de participantes


Preço por Participante

Os cursos de treinamento abertos exigem mais de 5 participantes.

Declaração de Clientes (7)

Os componentes interativos e exemplos.

Raphael - Global Knowledge
Curso - OWASP Top 10

Máquina Traduzida

Abordagem prática e conhecimentos do formador

RICARDO
Curso - OWASP Top 10

Máquina Traduzida

O conhecimento do formador foi fenomenal

Patrick - Luminus
Curso - OWASP Top 10

Máquina Traduzida

exercícios, mesmo que fora da minha zona de conforto.

Nathalie - Luminus
Curso - OWASP Top 10

Máquina Traduzida

O formador é muito informativo e conhece realmente o tema

Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10

Máquina Traduzida

O Trainor é realmente um especialista no assunto.

Reynold - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10

Máquina Traduzida

Laboratório prático sobre como obter uma shell de uma máquina atacada

Catalin
Curso - OWASP Top 10

Máquina Traduzida

Próximas Formações Provisórias

OWASP Top 10

2025-06-30 09:30
14 Horas
São Paulo-Top Center Paulista
$ 20883 (On-line)
$ 21083 (Sala de aula)

OWASP Top 10

2025-07-14 09:30
14 Horas
Campinas - Shopping Galleria Plaza
$ 20883 (On-line)
$ 21283 (Sala de aula)

OWASP Top 10

2025-07-28 09:30
14 Horas
São Paulo - Domo Corporate ABC
$ 20883 (On-line)
$ 21143 (Sala de aula)

Cursos Relacionados

Web Security Testing - Security and Testing of Web Applications using OWASP

 21 Horas

Esta formação ao vivo orientada por um instrutor (online ou no local) destina-se a programadores, engenheiros e arquitectos que procuram proteger as suas aplicações e serviços Web.

No final desta formação, os participantes serão capazes de integrar, testar, proteger e analisar as suas aplicações e serviços Web utilizando a estrutura e as ferramentas de teste OWASP

Leia mais...

OWASP Mobile Security Testing Guide

 21 Horas

Esta formação ao vivo orientada por um instrutor em Brasil (online ou no local) destina-se a programadores, engenheiros e arquitectos que pretendam aplicar os princípios, processos, técnicas e ferramentas de teste MSTG para proteger as suas aplicações e serviços móveis.

No final desta formação, os participantes serão capazes de

  • Explorar técnicas de teste para criar estratégias para uma implementação eficaz de testes de segurança no ciclo de vida do desenvolvimento.
  • Realizar técnicas de teste para testar vulnerabilidades e riscos gerais em aplicativos móveis.
  • Executar vários processos de teste de segurança para proteger seus aplicativos móveis Android e iOS.
Leia mais...

OWASP Web Security Testing Guide

 21 Horas

Esta formação ao vivo orientada por instrutor em Brasil (online ou no local) destina-se a programadores, engenheiros e arquitectos que pretendam aplicar a estrutura, os princípios e as técnicas de teste WSTG para proteger as suas aplicações e serviços Web.

No final desta formação, os participantes serão capazes de

  • Utilizar o WSTG para implementar processos e técnicas de teste no ciclo de vida do desenvolvimento web.
  • Explorar diferentes técnicas de teste para personalizar a estrutura WSTG com base nas necessidades de negócios.
  • Realizar vários métodos de teste de segurança para proteger aplicações web de riscos e ataques.
  • Criar um relatório de avaliação para documentar as descobertas e os resultados dos testes de segurança.
Leia mais...

How to Write Secure Code

 35 Horas

This Course in Brasil aims to help in the following:

  1. Help Developers to master the techniques of writing Secure Code
  2. Help Software Testers to test the security of the application before publishing to the production environment
  3. Help Software Architects to understand the risks surrounding the applications
  4. Help Team Leaders to set the security base lines for the developers
  5. Help Web Masters to configure the Servers to avoid miss-configurations
Leia mais...

Secure Developer Java (Inc OWASP)

 21 Horas

Este curso aborda os conceitos e princípios de codificação seguros com Java através da metodologia de teste do Open Web Application Security Project ( OWASP ). O Open Web Application Security Project é uma comunidade online que cria artigos, metodologias, documentação, ferramentas e tecnologias disponíveis gratuitamente no campo da segurança de aplicações web.

Leia mais...

Secure Developer .NET (Inc OWASP)

 21 Horas

Este curso abrange os conceitos e diretores de codificação seguros com ASP.net através da metodologia de teste open web application security Project (OWASP), OWASP é uma comunidade online que cria artigos, metodologias, documentos, ferramentas e tecnologias disponíveis gratuitamente no campo da segurança de aplicativos web.

Este curso explora os recursos do Dot Net Framework Security e como proteger aplicativos web.




Leia mais...

Categorias Relacionadas

OWASP
OWASP