Sendo atualmente o modelo de aplicação mais difundido no mercado, as aplicações web vão desde sistemas complexos como e-commerces até simples APIs. Conhecer e saber como explorar as vulnerabilidades que uma aplicação web pode ter é vital para todo profissional que atua ou deseja atuar nas áreas relacionadas ao ecossistema da web, seja para detectá-las durante uma análise de segurança ou para previnir que as mesmas aconteçam durante o processo de desenvolvimento.

O minicurso terá a duração de 2 dias e será totalmente prático. Durante o primeiro dia será utilizada uma aplicação open source que foi construída de forma vulnerável propositalmente para ilustrar e demonstrar os tipos mais comuns de vulnerabilidades encontradas em uma aplicação web, como explorar as falhas, os impactos causados pelo processo de exploração e como mitigar o problema. Durante o segundo dia serão apresentados diferentes exemplos de ambientes preparados com vulnerabilidades em aplicações web (máquinas virtuais vulneráveis para estudo de segurança), para ilustrar cenários um pouco mais realista dos impactos que podem ser causados, através de uma sessão guiada, onde os participantes irão dar ideias do que fazer para avançar no processo.

É necessário conhecimento básico em desenvolvimento para web e conhecimento básico em Linux.

Durante o curso utilizaremos as seguintes ferramentas:

- Mozilla Firefox v68.0.2 (https://www.mozilla.org/en-US/firefox/new/)
- FoxyProxy Standard Add-on v6.6.2 (https://addons.mozilla.org/en-US/firefox/addon/foxyproxy-standard/)
- Burp Suite Community Edition v2.1.02 (https://portswigger.net/burp/communitydownload)
- DVWA v1.9 (https://github.com/ethicalhack3r/DVWA) - É um processo bem trabalhoso para instalar, recomendo o uso da versão em Docker
- Netcat, wget, curl - Já vem por padrão na maioria dos Unix

Restrições de horário: Terça e Quinta, no período noturno (2 créditos/dia)