vulnerabilidade
18 artigos com esta tag
Vazamento em massa do MOVEit (2023) — como um zero-day de SQL injection alcançou mais de 2.700 organizações, e como se defender
A entrada foi um zero-day de SQL injection (CVE-2023-34362) no MOVEit Transfer, exposto à internet. Um web shell (LEMURLOOT) foi plantado e dados foram roubados em massa do banco de dados de retaguarda, atingindo mais de 2.700 organizações e cerca de 93,3M de pessoas. A maioria das vítimas foi arrastada indiretamente porque um fornecedor usava o MOVEit. No seu ambiente: patch rápido de KEV, minimizar a exposição, menor privilégio e segmentação entre web↔DB, inventário de fornecedores e minimização de dados.
O que é CORS — como funciona e o que uma configuração incorreta expõe
O CORS é como o navegador controla se o JS de outra origem pode ler as respostas da sua API. Uma configuração incorreta — refletir qualquer Origin, ou Access-Control-Allow-Origin:* com credenciais — deixa um site de terceiros ler dados de um usuário logado. A defesa de verdade: uma lista de permissões, não refletir a Origin cegamente, negar por padrão.
O que é session fixation — fazer a vítima logar com um ID que o invasor já conhece
Session fixation faz a vítima usar um ID de sessão conhecido pelo invasor e então se passa por ela depois que ela loga com esse ID. A defesa real: regenerar o ID de sessão no login (e na mudança de privilégio). Não aceite IDs da URL e reforce os cookies com HttpOnly/Secure/SameSite.
O que é IDOR — ver os dados de outra pessoa só trocando um ID
O IDOR permite que um usuário troque ?id=124 por 125 e leia a fatura ou os dados pessoais de outra pessoa — controle de acesso quebrado. A defesa de verdade: no servidor, verificar a cada acesso se o usuário logado tem permissão sobre este objeto. IDs difíceis de adivinhar não são uma correção.
O que é clickjacking — armadilhas invisíveis que fazem você clicar em botões ocultos
O clickjacking sobrepõe seu site real de forma invisível sobre a página do atacante para que o usuário execute uma ação não intencional (transferência, mudança de configuração, consentimento). A defesa de verdade é recusar ser colocado em frame — CSP frame-ancestors mais X-Frame-Options.
O que é open redirect — sua URL confiável usada como trampolim para outro site
Um open redirect permite que um parâmetro do tipo ?next= encaminhe usuários para qualquer site externo, tomando emprestada a confiança do seu domínio para phishing. A defesa real: nunca aceitar URLs externas como destino de redirecionamento — apenas caminhos relativos e uma allowlist.
O que é path traversal — ler arquivos que o servidor jamais deveria servir, via ../
Path traversal mistura ../ em um campo de nome de arquivo para escapar do diretório base e ler/escrever .env, configurações ou chaves. A defesa real: nunca use entrada do usuário como caminho de arquivo cru, e normalize-então-confine dentro de um diretório base permitido.
O que é CSRF (Cross-Site Request Forgery) — fazer um usuário logado agir sem querer
O CSRF faz o navegador de um usuário logado enviar uma ação não intencional, abusando do hábito do navegador de anexar cookies automaticamente. A defesa de verdade são tokens CSRF mais cookies SameSite. Nunca use GET para mudanças de estado.
O que é injeção de SQL (SQLi) — quando a entrada reescreve os comandos do seu banco de dados
SQLi é quando a entrada é lida como 'parte do comando' em vez de dado, mudando o significado de uma consulta — direto para ler/alterar/apagar. A defesa real é parar de concatenar SQL em strings e passar valores via placeholders (prepared statements).
O que é XSS (Cross-Site Scripting) — código rodando no navegador de outra pessoa
XSS faz uma string fornecida pelo invasor rodar 'como script' no navegador de outro usuário — direto para roubo de sessão e personificação. A defesa real é escapar na saída. Não desabilite o auto-escape do seu framework.
O que é um CVE — o 'número da camisa' compartilhado das vulnerabilidades
Um CVE é um identificador globalmente compartilhado de uma vulnerabilidade (por exemplo, CVE-2025-12345). CVE = o nome, CVSS = a severidade, KEV = está sendo explorada. É a âncora do monitoramento. Acompanhe-o com máquinas, não na mão.
O que é RCE (execução remota de código) — por que é a pior classe de falha
RCE permite que um invasor rode código arbitrário no seu servidor — direto para a tomada de controle, a pior classe. O raio de impacto é definido pelos privilégios do processo em execução. As defesas centrais são patches rápidos, monitoramento de CVE e privilégio mínimo.
O que é CVSS — a pontuação de severidade e como ela é de fato calculada
O CVSS classifica a severidade de 0.0 a 10.0. A pontuação é calculada a partir de métricas definidas (vetor de ataque, complexidade, privilégios, interação do usuário, escopo, impacto CIA) por uma fórmula pública — não um palpite. Conheça o critério e você consegue ler o que um 10.0 significa. Ainda assim, priorize com o KEV (está sendo explorada) e se você o usa.
O que é SSRF (Server-Side Request Forgery)
SSRF abusa de URLs vindas de entrada externa para fazer um servidor atingir recursos internos (IPs internos, metadados de nuvem). Se você busca URLs, precisa de uma allowlist de destinos, bloqueio de alvos internos e fechar as brechas de redirecionamento/DNS rebinding. Foi o ponto de entrada do vazamento da Capital One.
Vazamento da Equifax (2017) — como uma falha não corrigida no Apache Struts expôs 147M de pessoas
A causa foi um CVE conhecido e já corrigido (CVSS 10.0) deixado sem aplicar em um sistema público. Um certificado de monitoramento expirado ocultou a exfiltração por 76 dias. No seu ambiente: inventário de ativos, um SLA de patch, monitoramento por máquina e detecção saudável.
Heartbleed (CVE-2014-0160) — quando memória vazou da base do tráfego criptografado
A leitura excessiva de memória do OpenSSL podia vazar chaves privadas e sessões. A causa: o servidor confiava num comprimento alegado e lia a memória adjacente. A lição: aja como se tudo tivesse vazado — reemita certificados, rotacione todos os segredos — além do peso do software de base e da segurança de memória.
Log4Shell (CVE-2021-44228) — a noite em que o mundo temeu um bug que nem conseguia confirmar ter
O bug CVSS 10.0 do Log4j. O verdadeiro medo era a dependência transitiva — ser afetado por uma biblioteca que você nem sabia que usava. Um caminho passivo de logs virou vetor de ataque. SBOM, monitoramento por máquina, patch rápido e acompanhar os CVEs de continuação são as lições.
O backdoor do XZ Utils (CVE-2024-3094) — quando a própria confiança era o alvo
Um mantenedor confiável plantou um backdoor no xz — um ataque à cadeia de suprimentos. O 'isto parece lento' de um engenheiro o pegou pouco antes da versão estável. O alvo não era o código — eram as pessoas e a confiança. Minimize dependências, fixe versões, faça builds reprodutíveis, persiga anomalias e apoie os mantenedores.