Categoria
Durante anos, MD5 e SHA1 foram considerados padrões aceitáveis para proteger senhas. Hoje, sabemos que essa confiança era uma ilusão perigosa. O principal problema é a velocidade: esses algoritmos foram projetados para serem rápidos em hardware comum, o que os torna perfeitos para verificar integridade de arquivos, mas terríveis para hashing de senhas.
O protocolo HTTP (Hypertext Transfer Protocol) foi criado para transferir dados entre navegadores e servidores, mas o faz sem qualquer proteção. Qualquer pessoa no meio do caminho — um roteador comprometido, um provedor de internet malicioso ou um invasor em uma rede Wi-Fi pública — pode ler todo o tráfego. O HTTPS (HTTP Secure) resolve esse problema adicionando uma camada de criptografia por meio dos protocolos SSL (Secure Sockets Layer) ou seu sucessor, TLS (Transport Layer Security).
Um ataque de Negação de Serviço Distribuído (DDoS) ocorre quando múltiplos sistemas comprometidos são utilizados para sobrecarregar um alvo com tráfego malicioso, tornando seus serviços indisponíveis. A evolução desses ataques é notável: começaram com simples inundações de pacotes ICMP (ping flood) e evoluíram para ataques multi-vetor sofisticados, que combinam volumétricos, de protocolo e de camada de aplicação simultaneamente. Atualmente, ataques como o Mirai botnet utilizam dispositivos IoT p
A Content Security Policy (CSP) é uma camada de segurança que permite aos desenvolvedores web controlar quais recursos podem ser carregados e executados em suas páginas. Diferente de abordagens tradicionais baseadas em blocklist (que tentam bloquear padrões conhecidos de ataque), a CSP opera com whitelist: você define explicitamente o que é permitido, e tudo o mais é automaticamente bloqueado pelo navegador.
O OWASP ZAP (Zed Attack Proxy) é uma ferramenta de teste de segurança de aplicações web mantida pela Open Web Application Security Project. Sua relevância no ecossistema de segurança para desenvolvedores reside em sua capacidade de identificar vulnerabilidades comuns como SQL Injection, Cross-Site Scripting (XSS) e configurações incorretas de segurança, tudo de forma automatizada e integrada a pipelines de desenvolvimento.
A análise estática de segurança (SAST — Static Application Security Testing) é uma técnica essencial para identificar vulnerabilidades no código-fonte antes da execução. Diferente de ferramentas tradicionais como SonarQube (focada em qualidade geral) ou Bandit (específica para Python), o Semgrep se destaca por sua flexibilidade e capacidade de combinar padrões sintáticos com análise de fluxo de dados.
O Snyk é uma plataforma de segurança nativa para desenvolvedores que permite identificar, priorizar e corrigir vulnerabilidades em dependências de software, containers e infraestrutura como código. Diferentemente de varreduras pontuais (que ocorrem apenas em momentos específicos, como antes de um release), o monitoramento contínuo oferecido pelo Snyk verifica constantemente seus projetos contra bancos de dados de vulnerabilidades atualizados em tempo real.
O Trivy (TRIVulnerabilitY) é uma ferramenta open-source de segurança desenvolvida pela Aqua Security, projetada para detectar vulnerabilidades em containers, código-fonte, dependências e infraestrutura como código. Originalmente conhecido por escanear imagens Docker, o Trivy evoluiu para um scanner multifuncional que cobre todo o ciclo de vida do desenvolvimento de software.
A implementação de compliance começa com a tradução de bases legais em variáveis de estado. Cada operação de tratamento deve estar associada a uma base legal específica, controlada por enums e verificada em tempo de execução.
Pentest (teste de penetração) é uma atividade controlada que simula ataques reais para identificar vulnerabilidades em sistemas. Diferente de varreduras automatizadas que apenas escaneiam superfícies, o pentest manual explora lógicas de negócio e combina falhas que ferramentas isoladas não detectam.