Glossário
CVE, CVSS, RCE, SSRF, XSS, SPF/DKIM/DMARC — cada termo com uma resposta em uma linha e uma explicação simples.
O que é uma passkey? Login sem senha e sem nada para roubar
Uma passkey é um login sem segredo compartilhado. Seu dispositivo assina com uma chave privada mais biometria e o servidor guarda só a chave pública correspondente. Assim um vazamento não pode ser abusado, e a assinatura está vinculada ao domínio — não se completa em site falso, sendo estruturalmente resistente a phishing. Mais segura que senha + código SMS; migre primeiro as contas importantes.
O que é hashing de senha? Armazenar senhas com segurança usando uma transformação irreversível
Hashing de senha significa armazenar uma senha como uma transformação de mão única, não reversível. Nunca armazene texto puro. Diferente da criptografia, você não consegue descriptografá-la de volta — esse é o ponto. Mas MD5/SHA-256 puro cai diante de rainbow tables e força bruta. A correção: um sal por usuário mais um hash deliberadamente lento (bcrypt/Argon2/scrypt). Não faça o seu próprio — use a função padrão.
O que é um sal? O 'tempero' por usuário adicionado ao hash de uma senha
Um sal é um valor aleatório, por usuário, adicionado antes do hashing de uma senha. A mesma senha então é armazenada de forma diferente para cada usuário, o que derrota rainbow tables pré-computadas e impede que uma execução de quebra quebre muitas contas. Um sal não é secreto — armazene-o junto com o hash. bcrypt/Argon2 adicionam um automaticamente.
O que é phishing? Os tipos de ataque e defesas mais seguras que 'identificar a olho'
Phishing se passa por uma parte confiável para atraí-lo a uma página de login falsa e roubar credenciais ou dados (ou rodar malware). Mira no julgamento humano em vez de uma falha de software, e é a rota de entrada número um para ransomware e vazamentos. O phishing moderno com invasor no meio (AiTM) retransmite até códigos de uso único para o site real em tempo real, então o MFA por SMS/app pode ser derrotado. A defesa segura não é 'identificar a olho', mas mecanismos: MFA resistente a phishing vinculado ao domínio (passkeys/chaves de segurança), ir direto ao site oficial em vez de clicar em links e autenticação de e-mail (SPF/DKIM/DMARC).
O que é um JWT (JSON Web Token)? Como funciona o passe assinado e como usá-lo com segurança
Um JWT é um 'passe' à prova de adulteração que um servidor emite assinando-o. Ele tem três partes — header.payload.signature — e o servidor verifica a assinatura para confirmar a autenticidade. Cuidado com: (1) sempre verifique a assinatura e fixe o alg esperado (rejeite alg:none); (2) qualquer pessoa pode ler o conteúdo, então não coloque segredos nele; (3) mantenha a expiração curta e tenha uma estratégia de revogação. Decodificar (ler) e verificar (checar autenticidade) são coisas diferentes.
O que é ransomware? Como funciona, como entra e como evitar pagar
Ransomware é um malware que criptografa seus arquivos e exige pagamento para tê-los de volta. Ataques modernos adicionam a dupla extorsão — roubam os dados primeiro e ameaçam vazá-los, então só descriptografar não detém o vazamento. Principais rotas de entrada: phishing, VPN/RDP fracos ou sem MFA e falhas sem patch expostas à internet. A defesa mais importante são backups offline/imutáveis mais testes de restauração — conseguir se recuperar sem pagar. Também feche a entrada (MFA, patches) e limite o raio de impacto (privilégio mínimo, segmentação).
O que é o BitLocker — a criptografia de disco do Windows que protege dados em um dispositivo perdido ou roubado
O BitLocker é a criptografia de disco embutida no Windows. Ele protege os dados quando o PC está desligado ou o disco é removido, transformando um roubo ou perda em texto cifrado. A grande armadilha é a chave de recuperação — perca-a e você se tranca para fora. Ele não protege um PC ligado e com sessão iniciada, então combine-o com um login forte e bloqueio automático.
O que é C2 (comando e controle) — o canal que atacantes usam para controlar um dispositivo após uma invasão
C2 é o canal que um dispositivo comprometido usa para ligar de volta ao servidor do atacante (um beacon) para receber comandos e exfiltrar dados — a etapa após a invasão. As chaves para detectá-lo são tráfego de saída periódico suspeito e destinos sabidamente maliciosos. Defesas: filtragem de saída, monitoramento de DNS, correspondência de IOC/IOA, privilégio mínimo. Confirmar que 'não há C2 residente' é uma parte fundamental da investigação de uma invasão.
O que é CORS — como funciona e o que uma configuração incorreta expõe
O CORS é como o navegador controla se o JS de outra origem pode ler as respostas da sua API. Uma configuração incorreta — refletir qualquer Origin, ou Access-Control-Allow-Origin:* com credenciais — deixa um site de terceiros ler dados de um usuário logado. A defesa de verdade: uma lista de permissões, não refletir a Origin cegamente, negar por padrão.
O que é EDR — registrar o 'comportamento' dos endpoints para detectar e responder a ataques que escapam
O EDR registra continuamente o comportamento do endpoint, detecta atividade suspeita (no estilo IOA) e apoia a resposta (isolar, investigar). Ele captura ataques sem arquivo e living-off-the-land que o antivírus baseado em assinaturas/IOC perde, por meio de comportamento e de uma linha do tempo. Times pequenos muitas vezes não precisam de um EDR completo — a proteção embutida no SO mais logs mais a mentalidade de IOA já entregam boa parte do valor.
O que é um IOA (Indicator of Attack) — detectar uma invasão por comportamento, não por rastros
Um IOA (Indicator of Attack) detecta uma invasão pelo comportamento de um ataque em andamento (escalonamento de privilégios → movimento lateral → exfiltração). É a contraparte do IOC, que é a posteriori. Atacantes trocam hashes e IPs num instante, mas a técnica (comportamento) é difícil de mudar — então os IOAs duram. Até times pequenos podem se aproximar disso observando comportamento que difere do normal.
O que é um IOC (Indicator of Compromise) — rastros que revelam uma invasão
Um IOC (Indicator of Compromise) é um rastro que uma invasão deixa para trás — hashes de arquivo sabidamente maliciosos, IPs/domínios de atacantes, URLs, processos incomuns. Seu valor é detectar/bloquear mecanicamente o sabidamente malicioso. Mas é uma pista reativa que os atacantes trocam barato, então a correspondência de IOC é uma verificação final, não uma cura. A defesa de verdade é um design que não pega fogo (privilégio mínimo, correções, MFA).
O que é session fixation — fazer a vítima logar com um ID que o invasor já conhece
Session fixation faz a vítima usar um ID de sessão conhecido pelo invasor e então se passa por ela depois que ela loga com esse ID. A defesa real: regenerar o ID de sessão no login (e na mudança de privilégio). Não aceite IDs da URL e reforce os cookies com HttpOnly/Secure/SameSite.
O que é clickjacking — armadilhas invisíveis que fazem você clicar em botões ocultos
O clickjacking sobrepõe seu site real de forma invisível sobre a página do atacante para que o usuário execute uma ação não intencional (transferência, mudança de configuração, consentimento). A defesa de verdade é recusar ser colocado em frame — CSP frame-ancestors mais X-Frame-Options.
O que é IDOR — ver os dados de outra pessoa só trocando um ID
O IDOR permite que um usuário troque ?id=124 por 125 e leia a fatura ou os dados pessoais de outra pessoa — controle de acesso quebrado. A defesa de verdade: no servidor, verificar a cada acesso se o usuário logado tem permissão sobre este objeto. IDs difíceis de adivinhar não são uma correção.
O que é open redirect — sua URL confiável usada como trampolim para outro site
Um open redirect permite que um parâmetro do tipo ?next= encaminhe usuários para qualquer site externo, tomando emprestada a confiança do seu domínio para phishing. A defesa real: nunca aceitar URLs externas como destino de redirecionamento — apenas caminhos relativos e uma allowlist.
O que é path traversal — ler arquivos que o servidor jamais deveria servir, via ../
Path traversal mistura ../ em um campo de nome de arquivo para escapar do diretório base e ler/escrever .env, configurações ou chaves. A defesa real: nunca use entrada do usuário como caminho de arquivo cru, e normalize-então-confine dentro de um diretório base permitido.
O que é CSRF (Cross-Site Request Forgery) — fazer um usuário logado agir sem querer
O CSRF faz o navegador de um usuário logado enviar uma ação não intencional, abusando do hábito do navegador de anexar cookies automaticamente. A defesa de verdade são tokens CSRF mais cookies SameSite. Nunca use GET para mudanças de estado.
O que são SPF / DKIM / DMARC — o trio que protege seu domínio de e-mails forjados
SPF/DKIM/DMARC são três configurações de DNS para que os destinatários verifiquem o e-mail do seu domínio. SPF = quais servidores podem enviar, DKIM = uma assinatura criptográfica, DMARC = a política mais relatórios. Juntos, impedem o spoofing em seu nome. Aumente o DMARC a partir de p=none.
O que é injeção de SQL (SQLi) — quando a entrada reescreve os comandos do seu banco de dados
SQLi é quando a entrada é lida como 'parte do comando' em vez de dado, mudando o significado de uma consulta — direto para ler/alterar/apagar. A defesa real é parar de concatenar SQL em strings e passar valores via placeholders (prepared statements).
O que é XSS (Cross-Site Scripting) — código rodando no navegador de outra pessoa
XSS faz uma string fornecida pelo invasor rodar 'como script' no navegador de outro usuário — direto para roubo de sessão e personificação. A defesa real é escapar na saída. Não desabilite o auto-escape do seu framework.
O que é um CVE — o 'número da camisa' compartilhado das vulnerabilidades
Um CVE é um identificador globalmente compartilhado de uma vulnerabilidade (por exemplo, CVE-2025-12345). CVE = o nome, CVSS = a severidade, KEV = está sendo explorada. É a âncora do monitoramento. Acompanhe-o com máquinas, não na mão.
O que é CVSS — a pontuação de severidade e como ela é de fato calculada
O CVSS classifica a severidade de 0.0 a 10.0. A pontuação é calculada a partir de métricas definidas (vetor de ataque, complexidade, privilégios, interação do usuário, escopo, impacto CIA) por uma fórmula pública — não um palpite. Conheça o critério e você consegue ler o que um 10.0 significa. Ainda assim, priorize com o KEV (está sendo explorada) e se você o usa.
O que é o .env — o que acontece quando um arquivo de ambiente vaza
O .env guarda os segredos de um aplicativo (autenticação do banco, chaves de API, chaves de criptografia). Como as chaves ficam reunidas em um único arquivo, a exposição vaza todos os segredos de uma vez. Mantenha o app fora do docroot, nunca o commit no git e gire tudo se ele vazar.
O que é RCE (execução remota de código) — por que é a pior classe de falha
RCE permite que um invasor rode código arbitrário no seu servidor — direto para a tomada de controle, a pior classe. O raio de impacto é definido pelos privilégios do processo em execução. As defesas centrais são patches rápidos, monitoramento de CVE e privilégio mínimo.
O que é SSRF (Server-Side Request Forgery)
SSRF abusa de URLs vindas de entrada externa para fazer um servidor atingir recursos internos (IPs internos, metadados de nuvem). Se você busca URLs, precisa de uma allowlist de destinos, bloqueio de alvos internos e fechar as brechas de redirecionamento/DNS rebinding. Foi o ponto de entrada do vazamento da Capital One.