FUNDAMENTOS DE SEGURANÇA EM APLICAÇOES WEB

Capacitação em segurança ofensiva em aplicações web: Prepare seus colaboradores para antecipar ameaças antes que virem brechas em uma das escolas de tecnologia mais inovadoras do mundo.

IMERSÃO PARA EMPRESAS

PRESENCIAL

18/08 → 22/08

9h às 18h

*Condições especiais para times

Presencialmente no campus da 42 São Paulo, situado na Rua Aspicuelta, 422, Vila Madalena, São Paulo - SP.

Toda receita das imersões ajuda a ampliar o acesso gratuito à formação em engenharia de software na 42 São Paulo.

ONDE

IMPACTO SOCIAL

100% prático, intensivo e baseada em problemas reais. Times aprendem explorando as principais vulnerabilidades do OWASP Top10 em um ambiente controlado, encontrando soluções e progredindo junto com outras pessoas.

FORMATO

Para quem é?

  • Iniciantes em segurança ofensiva com conhecimento prévio em redes e programação.


  • Desenvolvedores interessados em compreender falhas comuns em aplicações web.


  • Pentesters em formação, buscando ambientes controlados para experimentação prática.

  • Noções de HTTP, HTML e JavaScript,
  • Familiaridade com linha de comando (Linux/Docker)
  • Conhecimentos básicos sobre redes e sessões.

Pré Requisitos

Por que vale a pena?

Ideal para estudantes de segurança cibernética e desenvolvedores que desejam aprofundar seu entendimento sobre vulnerabilidades e práticas de proteção em aplicações web.


  • Ambiente de laboratório com containers Docker para testes reais.


  • Cobertura prática das principais vulnerabilidades do OWASP Top 10.


  • Sem superficialidade técnica. Feita por quem entende a dor do time tech. Prática real, resultado direto.

Sem superficialidade técnica. Conhecimentos desbloqueados ao longo de 5 dias

Módulo 0 – XSS (Cross-Site Scripting)

Foco:
Exploração de vulnerabilidades de injeção de scripts em aplicações web.

Exercícios

1. Identificar e explorar uma vulnerabilidade XSS para exibir cookies.

2. Documentar o caso em três arquivos: Readme.md (descrição da vulnerabilidade), Payloads.md (lista de payloads utilizados) e Fix.md (propostas de correção).

3. (Bônus) Criar um script automatizado para demonstrar a falha.


Habilidades Desenvolvidas 

● Identificação de XSS refletido e armazenado. 

● Criação de payloads maliciosos (exemplo: ). 

● Implementação de medidas de proteção (como sanitização de inputs e uso de Content Security Policy).

Módulo 1 – CSRF (Cross-Site Request Forgery)

Foco
Entendimento e exploração de requisições forjadas em contextos autenticados.

Exercícios
1. Realizar uma transferência de fundos sem autorização em um site bancário vulnerável.

2. Documentar a vulnerabilidade, listar exemplos de payloads (como formulários HTML maliciosos) e propor defesas como tokens anti-CSRF.

Habilidades Desenvolvidas

● Compreensão do funcionamento de sessões autenticadas.
● Uso de ferramentas como Burp Suite para captura e modificação de requisições.

Destaque
Aplicação prática em um cenário financeiro simulado.

Módulo 2 – Template Injection

Foco

Injeção de código em motores de template (como Jinja2).

Exercícios

1. Explorar a leitura de arquivos do sistema (como /etc/passwd) via injeção.

2. Documentar a vulnerabilidade SSTI e sugerir sanitização de inputs.

Habilidades Desenvolvidas

● Exploração de Server-Side Template Injection (SSTI).

● Criação de payloads em templates (exemplos: {{7*7}}, {{config.items()}}).

Módulo 3 – XXE (XML External Entity)

Foco:
Exploração de entidades XML externas e maliciosas.

Exercícios

1. Exfiltrar arquivos do sistema via XXE (exemplo: /etc/passwd). 

2. Documentar os payloads utilizados e apresentar estratégias de defesa (como desativar a resolução de entidades externas). 


Habilidades Desenvolvidas 

● Manipulação de XML para ataques. 

● Utilização de ferramentas como OWASP ZAP para testes automatizados.

Destaque:
Exploração de APIs baseadas em XML, como serviços SOAP.  

Módulo 4 – SSRF / LFI (Server-Side Request Forgery / Local File Inclusion)

Foco

Acesso não autorizado a recursos internos e leitura de arquivos locais via exploração de endpoints.

Exercícios

1. Explorar recursos internos da aplicação com SSRF ou LFI (exemplo: file:///etc/passwd). 

2. Documentar as diferenças entre SSRF e LFI e propor mecanismos de mitigação (como listas de URLs permitidas)

Habilidades Desenvolvidas

● Bypass de restrições utilizando técnicas como ../ e codificação de URLs. 

● Exploração de serviços internos em ambientes cloud. 

Destaque 
Cenários de ataques a metadados de infraestrutura, como a AWS Metadata API.

Módulo 5 – Deserialization RCE

Foco:

Exploração de falhas em processos de desserialização insegura.

Exercícios:

1. Executar comandos remotos usando objetos maliciosos (exemplo: pickle em Python).

2. Documentar a cadeia de exploração e sugerir validação de dados recebidos.

Habilidades Desenvolvidas:

● Criação de payloads para execução remota de código.

● Uso de ferramentas como ysoserial (Java) para demonstrações práticas.

Destaque:

Riscos associados à comunicação entre microsserviços e APIs que utilizam serialização.

Módulo 6 – Padding Oracle

Foco

Exploração de falhas em cifras de bloco por meio de ataques de oráculo de padding.

Exercícios

1. Quebrar a criptografia e obter acesso autenticado sem credenciais.

2. Documentar a técnica e sugerir o uso de modos criptográficos seguros (exemplo: AES-GCM).

Habilidades Desenvolvidas

● Manipulação de blocos de cifras como AES-CBC.

● Utilização de ferramentas como PadBuster para explorar falhas.

Destaque

Ataques a cookies criptografados ou tokens JWT.

Analista de Engenharia de TI | Itaú

Redescobri a arte de aprender

Karina Ribeiro

"Foi uma jornada intensa e desafiadora, diferente de qualquer método de estudo que eu já tenha experimentado. Redescobri a arte de aprender!"

/5

4,9

Reviews

Não temos apostilas ou professores. Ao menos, não do jeito que você imagina. No método 42, pessoas colaboram de forma radical para concluir projetos juntas e de forma 100% prática. Quem faz, ensina; quem ensina, aprende ainda mais.

Não é só mais um "cursinho de cibersegurança"

Christian Gebara

Não é o Itaú que está ajudando a 42 São Paulo e sim o contrário

CEO

A formação é excelente e vamos brigar pela contratação dos talentos formados pela 42.

Candido Bracher

Conselho de Administração

Paul Graham

Founder

Isso não é um bootcamp. É o novo MIT

A 42, escola francesa de engenharia de software, cruzou o pacífico para ajudar a transformar o ecossistema tech no Brasil e formar os protagonistas do mercado.


Atualmente, mais de 300 pessoas estudam engenharia de software em nosso campus totalmente de graça e 25% delas são remuneradas para poder se dedicar.


Profissionais que participam das imersões também se tornam patrocinadores desse impacto social ao lado de parceiros como:



Top escolas mais inovadoras do mundo segundo o ranking Wuri. Ao lado de Harvard, Princeton e MIT.

Impacto social + Excelência acadêmica

Mais de 50 campis em 31 países e mais de 21.000 pessoas aprendendo com a metodologia ao redor do mundo.

Aprendizagem coletiva e baseada em projetos. Quem faz, ensina. Quem ensina, aprende ainda mais.

Toda a receita gerada a partir das imersões possibilitará que mais pessoas tenham acesso à formação gratuita em engenharia de software da 42 São Paulo.

<INVISTIMENTO EM CAPACITAÇÃO E ESG
AO MESMO TEMPO>

ESG

*Incremento de renda dos estudantes +
Resultado do crescimento de empresas diversas

Gera 2.5x mais retorno social (SROI)*

Cada R$1 investido na 42SP

INDIVIDUAL

Envie 01 colaborador para aprimorar conhecimentos técnicos e soft skills.

TIMES

Envie seu time para aprimorar conhecimentos técnicos e soft skills

MAIS POPULAR

O que inclui:


● Tudo do Plano Individual e também:


● A partir de 02 vagas na imersão em Fundamentos de segurança web na sede da 42 São Paulo.


● Descontos progressivos por quantidade de pessoas inscritas na Imersão.


● Descontos progressivos para participação em mais de uma turma calendário na sede da 42 São Paulo.

R$ 4.700

por pessoa

O que inclui:


● 01 vaga na Imersão em Fundamentos de segurança em aplicações web na sede da 42 São Paulo.


● Aprendizado através da resolução de projetos desenhados por experts.


● Acesso na prática ao método de aprendizado entre pares (peer to peer).


● Certificado de conclusão da imersão.

Contrate imersões das seguintes formas

Sob consulta

PLANOS E PREÇOS

Para grandes empresas que procuram soluções educacionais em tecnologia personalizadas, desenvolvemos uma imersão exclusiva com base nas necessidades de capacitação dos seus colaboradores.

Tenha uma imersõa em Fundamentos de Segurança em Aplicações Web feita sob medida para sua empresa.

PLANO ENTERPRISE

O que é aprendizagem entre pares?

Imagine o seguinte cenário:

  • Maria aprende a implementar uma função de ordenação em Python.
  • João está com dificuldades em implementar essa função.
  • Maria ensina João a solucioná-la.
  • Inácio também encontra dificuldades e pede ajuda a João.
  • João ensina Inácio, que ensina Beatriz, que ensina Matheus, que ensina Valéria.

Assim, todos progridem no currículo, aprendendo e ensinando.

Na aprendizagem entre pares, as pessoas avançam no currículo por meio da interação com outras pessoas.

Você sabe por que os professores de matemática conseguem resolver problemas de cálculo tensorial rapidamente, enquanto nós podemos demorar horas?

Porque eles estão constantemente aprendendo e ensinando.

Ensinar um novo conhecimento de forma contínua solidifica o aprendizado. Uma maneira eficaz de aprender é ensinando.

Imersões podem acontecer dentro da minha empresa?

Sim.

No plano "Enterprise", desenhado para grandes empresas, nós podemos ir até a sua empresa (In-Company).

Posso contratar uma imersão personalizada para minha empresa?

Sim.

No plano "Enterprise", podemos desenvolver uma imersão exclusiva com base nas necessidades de capacitação da sua empresa. 

Exemplo: Imersão em Python para Profissionais Não Técnicos em Finanças.

A 42SP deixou de ser gratuita?

A 42 São Paulo é uma ONG sem fins lucrativos. Nossa formação principal em engenharia de software, que oferece uma experiência de aprendizagem robusta e completa, continua sendo e sempre será gratuita para todos os estudantes. Além disso, oferecemos programas de Imersão que são opcionais e têm um custo associado, projetados para quem busca uma experiência intensiva e focada em áreas específicas.

Participar de uma Imersão não apenas proporciona uma oportunidade única de aprendizado, mas também significa se tornar um apoiador, ajudando a manter vivo o impacto da 42 São Paulo. Sua contribuição nos permite continuar oferecendo educação gratuita de alta qualidade para todos. 🤗

Precisa saber programar para participar dessa imersão?

A Imersão em Fundamentos de segurança em aplicações web é recomendada para quem já possui conhecimentos básicos em linha de comando, desenvolvimento web e noções fundamentais de redes de computadores

Onde acontecem as imersões?

As imersões com datas pré-agendadas acontecem presencialmente em nossa sede, localizada na Rua Aspicuelta, 422 - Vila Madalena, São Paulo. As sessões geralmente ocorrem em horário comercial, proporcionando uma experiência de aprendizado intensiva e imersiva. Esse formato permite que você se dedique totalmente ao aprendizado, interaja diretamente com outros participantes e aproveite ao máximo nosso ambiente educacional único.

Tire suas dúvidas

FAQ

PROGRAME
MUDANÇAS
NO MUNDO

Aspicuelta, 422 - Vila Madalena
imersao@42sp.org.br