132 | 
133 |
147 | 
148 |
161 | 
162 |
176 | 
177 |
79 |
87 |
88 |
89 |
90 |
91 |
80 |
84 | Total lines skipped (#nosec): 0 85 |
86 |
81 | Metrics:
82 |
83 | Total lines of code: 1384582 |
84 | Total lines skipped (#nosec): 0 85 |
92 |
93 |
94 |
354 |
355 |
356 |
357 |
--------------------------------------------------------------------------------
/2025.1/EJ/BlueTeam/artefatos/gitleaks.md:
--------------------------------------------------------------------------------
1 | # Gitleaks Scan Summary
2 |
3 | ## Secrets Found:
4 |
5 | ### Finding Type: generic-api-key
6 | - **Description:** Detected a Generic API Key, potentially exposing access to various services and sensitive operations.
7 | - **File:** .gitlab-ci.yml
8 | - **Line:** 10
9 | - **Secret:** `51xTbvyHGmEfeZZUxUct`
10 | - **Commit:** 3c5d08ea4998b074856236bde063faac617c2114
11 | - **Author:** Lude Yuri de Castro Ribeiro
12 | - **Tags:**
13 | ---
14 | ### Finding Type: jwt
15 | - **Description:** Uncovered a JSON Web Token, which may lead to unauthorized access to web applications and sensitive user data.
16 | - **File:** docs/development-guides/pt-br/api.rst
17 | - **Line:** 30
18 | - **Secret:** `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoicmVmcmVzaCIsImV4cCI6MTcxNjMwODkwOSwiaWF0IjoxNzE2MjIyNTA5LCJqdGkiOiI2MDNmYTYzOGRiNjU0ZDc5ODA5NjU3NWUxYjgwY2NiOCIsInVzZXJfaWQiOjc5Nn0.3QZdVL9A_EcAb5LJFWdcSHXRQ8ZWJ2P5RGq8yE9JzRc`
19 | - **Commit:** 3c5d08ea4998b074856236bde063faac617c2114
20 | - **Author:** Lude Yuri de Castro Ribeiro
21 | - **Tags:**
22 | ---
23 | ### Finding Type: generic-api-key
24 | - **Description:** Detected a Generic API Key, potentially exposing access to various services and sensitive operations.
25 | - **File:** src/ej_users/tests/test_api.py
26 | - **Line:** 129
27 | - **Secret:** `8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92`
28 | - **Commit:** 3c5d08ea4998b074856236bde063faac617c2114
29 | - **Author:** Lude Yuri de Castro Ribeiro
30 | - **Tags:**
31 | ---
32 | ### Finding Type: generic-api-key
33 | - **Description:** Detected a Generic API Key, potentially exposing access to various services and sensitive operations.
34 | - **File:** .gitlab-ci.yml
35 | - **Line:** 10
36 | - **Secret:** `51xTbvyHGmEfeZZUxUct`
37 | - **Commit:** 52e55e2b23c229ea0473c25123717bcd8746b02e
38 | - **Author:** David Carlos
39 | - **Tags:**
40 | ---
41 | ### Finding Type: jwt
42 | - **Description:** Uncovered a JSON Web Token, which may lead to unauthorized access to web applications and sensitive user data.
43 | - **File:** docs/development-guides/pt-br/api.rst
44 | - **Line:** 30
45 | - **Secret:** `eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0b2tlbl90eXBlIjoicmVmcmVzaCIsImV4cCI6MTcxNjMwODkwOSwiaWF0IjoxNzE2MjIyNTA5LCJqdGkiOiI2MDNmYTYzOGRiNjU0ZDc5ODA5NjU3NWUxYjgwY2NiOCIsInVzZXJfaWQiOjc5Nn0.3QZdVL9A_EcAb5LJFWdcSHXRQ8ZWJ2P5RGq8yE9JzRc`
46 | - **Commit:** 52e55e2b23c229ea0473c25123717bcd8746b02e
47 | - **Author:** David Carlos
48 | - **Tags:**
49 | ---
50 | ### Finding Type: generic-api-key
51 | - **Description:** Detected a Generic API Key, potentially exposing access to various services and sensitive operations.
52 | - **File:** src/ej_users/tests/test_api.py
53 | - **Line:** 129
54 | - **Secret:** `8d969eef6ecad3c29a3a629280e686cf0c3f5d5a86aff3ca12020c923adc6c92`
55 | - **Commit:** 52e55e2b23c229ea0473c25123717bcd8746b02e
56 | - **Author:** David Carlos
57 | - **Tags:**
58 | ---
59 |
--------------------------------------------------------------------------------
/2025.1/EJ/BlueTeam/relatorios/sprint1.md:
--------------------------------------------------------------------------------
1 | # Relatório de Implementação de SAST - Projeto EJ
2 |
3 | ## Introdução
4 |
5 | Este relatório documenta a implementação de Static Application Security Testing (SAST) na pipeline de CI/CD do projeto EJ-Application. A ferramenta escolhida foi o Bandit, específica para análise de segurança em código Python, conforme requisitos do projeto.
6 |
7 | ## Objetivos
8 |
9 | - Implementar uma ferramenta SAST (Bandit) na pipeline de CI/CD
10 | - Configurar a análise para identificar vulnerabilidades de segurança no código
11 | - Integrar a ferramenta de forma não-bloqueante na fase inicial
12 | - Documentar vulnerabilidades encontradas e próximos passos
13 |
14 | ## Metodologia
15 |
16 | ### 1. Análise do Repositório
17 |
18 | Inicialmente, foi realizada uma análise do repositório [ej-application](https://gitlab.com/pencillabs/ej/ej-application) para identificar:
19 | - Tecnologias utilizadas (exclusivamente Python)
20 | - Estrutura do projeto e organização do código
21 | - Configuração atual da pipeline (.gitlab-ci.yml)
22 | - Ferramentas de qualidade já implementadas
23 |
24 | ### 2. Configuração do Bandit
25 |
26 | Foi criado um arquivo de configuração `.bandit.yaml` na raiz do projeto com as seguintes definições:
27 |
28 | ```yaml
29 | exclude_dirs:
30 | - /tests
31 | - /venv
32 | - /migrations
33 | - /.git
34 | - /.tox
35 | - /lib
36 |
37 | skips:
38 | - B101 # assert_used
39 | - B311 # random
40 | ```
41 |
42 | Esta configuração:
43 | - Exclui diretórios não relevantes para análise de segurança
44 | - Ignora alguns testes específicos para reduzir falsos positivos
45 |
46 | ### 3. Integração na Pipeline
47 |
48 | Foi adicionado um novo estágio "security" na pipeline do GitLab, com um job dedicado para o Bandit:
49 |
50 | ```yaml
51 | bandit:
52 | stage: security
53 | image:
54 | name: python:3.9.19-slim-bookworm
55 | pull_policy: always
56 | before_script:
57 | - /bin/bash -c "pip install bandit==1.8.3"
58 | script:
59 | - /bin/bash -c "bandit -r src -c .bandit.yaml -f html -o bandit-report.html"
60 | - /bin/bash -c "bandit -r src -c .bandit.yaml -ll -ii"
61 | artifacts:
62 | paths:
63 | - bandit-report.html
64 | expire_in: 1 week
65 | when: always
66 | allow_failure: true
67 | ```
68 |
69 | A configuração inclui:
70 | - Uso da mesma versão do Python utilizada no projeto
71 | - Geração de relatório HTML para análise detalhada
72 | - Configuração `allow_failure: true` para não bloquear a pipeline na fase inicial
73 |
74 | ## Resultados
75 |
76 | ### Pipeline Executada
77 |
78 | A implementação foi testada com sucesso na pipeline do GitLab:
79 |
80 | 
81 |
82 | 
83 |
84 | A pipeline completa agora inclui:
85 | - Verificação de estilo (black)
86 | - Análise de lint (ruff)
87 | - Análise de segurança (bandit)
88 | - Testes unitários (pytest)
89 |
90 | ### Vulnerabilidades Encontradas
91 |
92 | O Bandit identificou várias vulnerabilidades no código, incluindo:
93 |
94 | 
95 |
96 | #### Principais vulnerabilidades:
97 |
98 | 1. **Uso de exec() (Risco Médio)**
99 | - **Arquivo**: src/ej/settings/themes.py, linha 23
100 | - **Descrição**: Uso da função `exec()` que pode permitir execução de código arbitrário
101 | - **CWE**: CWE-78
102 |
103 | 2. **Jinja2 sem autoescape (Risco Alto)**
104 | - **Arquivo**: src/ej_integrations/mailing.py, linha 60
105 | - **Descrição**: Ambiente Jinja2 configurado sem autoescape, podendo levar a vulnerabilidades XSS
106 | - **CWE**: CWE-94
107 |
108 | 3. **Uso de hash MD5 fraco (Risco Alto)**
109 | - **Arquivo**: src/ej_profiles/models.py, linha 326
110 | - **Descrição**: Uso de MD5 para hashing, considerado criptograficamente fraco
111 | - **CWE**: CWE-327
112 |
113 | 4. **Try-Except-Pass (Risco Baixo)**
114 | - **Múltiplos arquivos**
115 | - **Descrição**: Blocos try-except vazios que podem ocultar erros importantes
116 | - **CWE**: CWE-703
117 |
118 | 5. **Chamadas a requests sem timeout (Risco Médio)**
119 | - **Arquivo**: src/ej_integrations/utils.py, linha 6
120 | - **Descrição**: Chamadas HTTP sem timeout definido, podendo levar a ataques DoS
121 | - **CWE**: CWE-400
122 |
123 | ### Métricas
124 |
125 | ```
126 | Metrics:
127 | Total lines of code: 13845
128 | Total lines skipped (#nosec): 0
129 |
130 | Run metrics:
131 | Total issues (by severity):
132 | Undefined: 0
133 | Low: 7
134 | Medium: 2
135 | High: 2
136 | Total issues (by confidence):
137 | Undefined: 0
138 | Low: 1
139 | Medium: 0
140 | High: 10
141 | ```
142 |
143 | ## Recomendações
144 |
145 | ### Correções Prioritárias
146 |
147 | 1. **Alta Prioridade**:
148 | - Implementar autoescape no ambiente Jinja2 para prevenir XSS
149 | - Substituir o uso de MD5 por algoritmos mais seguros como SHA-256 ou bcrypt
150 |
151 | 2. **Média Prioridade**:
152 | - Revisar e refatorar o uso de `exec()` para alternativas mais seguras
153 | - Adicionar timeouts em todas as chamadas HTTP
154 |
155 | 3. **Baixa Prioridade**:
156 | - Revisar blocos try-except vazios para incluir tratamento adequado de erros
157 |
158 | ### Próximos Passos
159 |
160 | - Aplicar os conhecimentos adquiridos em DevSecOps para identificar possíveis vulnerabilidades no ciclo de desenvolvimento e propor melhorias.
161 |
162 | - Trabalhar na resolução de issues abertas, priorizando aquelas relacionadas à segurança, estabilidade e boas práticas de desenvolvimento seguro.
163 |
164 | ## Conclusão
165 |
166 | A implementação do Bandit como ferramenta SAST na pipeline do projeto EJ-Application foi concluída com sucesso. A análise identificou vulnerabilidades importantes que devem ser tratadas para melhorar a segurança da aplicação.
167 |
168 | A configuração atual permite que a equipe se adapte gradualmente às análises de segurança, sem bloquear o desenvolvimento, enquanto trabalha na correção das vulnerabilidades existentes.
169 |
170 | Esta implementação representa um primeiro passo importante na direção de práticas de desenvolvimento seguro, que podem ser expandidas e aprimoradas no futuro.
171 |
--------------------------------------------------------------------------------
/2025.1/EJ/BlueTeam/relatorios/sprint2.md:
--------------------------------------------------------------------------------
1 | # Relatório de Análise de Secrets - Projeto EJ - Sprint 2
2 |
3 | **Semestre:** 2025.1
4 | **Sprint:** 2
5 | **Grupo:** BlueTeam EJ
6 |
7 | ## Introdução
8 |
9 | Este relatório detalha a análise realizada no projeto EJ-Application e sua pipeline de CI/CD com o objetivo de identificar informações sensíveis (secrets) expostas, como chaves de API, tokens, senhas e outras credenciais hardcoded. A exposição de secrets representa um risco significativo de segurança. Nesta sprint, além da análise manual, foi integrada uma ferramenta automatizada de secret scanning (Gitleaks) à pipeline para detecção contínua.
10 |
11 | ## Objetivos
12 |
13 | - Verificar a presença de informações sensíveis hardcoded no código-fonte e configurações.
14 | - Implementar e integrar uma ferramenta automatizada de secret scanning (Gitleaks) na pipeline.
15 | - Analisar arquivos de configuração e scripts de pipeline em busca de secrets expostos.
16 | - Identificar riscos associados à exposição de secrets.
17 | - Documentar os achados (manuais e automatizados) e fornecer recomendações para mitigação.
18 |
19 | ## Metodologia
20 |
21 | A análise foi realizada utilizando as seguintes técnicas:
22 |
23 | 1. **Análise Estática Manual (grep)**: Buscas iniciais por palavras-chave comuns associadas a secrets no código-fonte e arquivos de configuração.
24 | 2. **Revisão de Configuração da Pipeline**: Análise do arquivo `.gitlab-ci.yml` para identificar o uso de tokens e variáveis sensíveis.
25 | 3. **Revisão de Arquivos de Ambiente**: Análise do arquivo `docker/variables.env`.
26 | 4. **Análise Automatizada (Gitleaks)**: Integração da ferramenta Gitleaks na pipeline de CI/CD para varredura automatizada do repositório em busca de segredos expostos, utilizando análise de padrões e entropia.
27 |
28 | ## Resultados da Análise
29 |
30 | A análise combinada (manual e automatizada) identificou os seguintes pontos de atenção:
31 |
32 | ### 1. Secrets no Código-Fonte (`src/**/*.py`)
33 |
34 | - **Análise Manual**: Identificou usos de termos como `password`, `token`, `secret_id`, majoritariamente relacionados a funcionalidades esperadas (gerenciamento de senhas, tokens de reset, etc.).
35 | - **Análise Automatizada (Gitleaks)**: Não reportou segredos críticos diretamente no código da aplicação principal, mas identificou uma chave genérica em um arquivo de teste (`src/ej_users/tests/test_api.py`).
36 | - **Risco**: Baixo para o código principal, Médio para a chave no arquivo de teste (se for uma chave real ou representativa de um padrão inseguro).
37 | - **Recomendação**: Revisar a chave encontrada no arquivo de teste. Considerar o uso de placeholders ou dados fictícios em testes.
38 |
39 | ### 2. Secrets na Configuração da Pipeline (`.gitlab-ci.yml`)
40 |
41 | - **`GITLAB_EJ_TOKEN: ...` (Linha 10)**
42 | - **Detectado por**: Análise Manual e Gitleaks (como `generic-api-key`).
43 | - **Descrição**: Token de deploy do GitLab hardcoded.
44 | - **Risco**: **Alto**.
45 | - **Recomendação**: Remover o token do arquivo e armazená-lo como uma variável de CI/CD protegida e mascarada no GitLab.
46 |
47 | - **`https://gitlab-ci-token:${CI_JOB_TOKEN}@...` (Linha 82)**
48 | - **Detectado por**: Análise Manual.
49 | - **Descrição**: Uso seguro da variável `CI_JOB_TOKEN`.
50 | - **Risco**: Baixo.
51 |
52 | - **`https://$GITLAB_INFRA_TOKEN@...` (Linha 114)**
53 | - **Detectado por**: Análise Manual.
54 | - **Descrição**: Uso da variável `GITLAB_INFRA_TOKEN`.
55 | - **Risco**: Médio (depende da configuração da variável).
56 | - **Recomendação**: Garantir que `GITLAB_INFRA_TOKEN` esteja definida como variável protegida e mascarada no GitLab.
57 |
58 | ### 3. Secrets em Arquivos de Ambiente (`docker/variables.env`)
59 |
60 | - **`DJANGO_SECRET_KEY=...` (Linha 8)**
61 | - **Detectado por**: Análise Manual e Gitleaks (como `generic-api-key` ou similar, dependendo das regras do Gitleaks).
62 | - **Descrição**: Chave secreta do Django hardcoded.
63 | - **Risco**: **Alto**.
64 | - **Recomendação**: Remover do arquivo, carregar via variáveis de ambiente em produção/staging, adicionar `variables.env` ao `.gitignore`.
65 |
66 | - **`JWT_SECRET=...` (Linha 23)**
67 | - **Detectado por**: Análise Manual e Gitleaks (como `generic-api-key` ou similar).
68 | - **Descrição**: Chave secreta JWT hardcoded.
69 | - **Risco**: **Alto**.
70 | - **Recomendação**: Seguir a mesma recomendação da `DJANGO_SECRET_KEY`.
71 |
72 | - **`MAILGUN_API_KEY=` e `EMAIL_HOST_PASSWORD=`**
73 | - **Detectado por**: Análise Manual.
74 | - **Descrição**: Campos vazios para credenciais.
75 | - **Risco**: Baixo (enquanto vazios), mas risco potencial.
76 | - **Recomendação**: Garantir que `variables.env` esteja no `.gitignore`.
77 |
78 | ### 4. Outros Achados (Gitleaks)
79 |
80 | - **JWT em Documentação (`docs/development-guides/pt-br/api.rst`)**: Gitleaks detectou um JWT hardcoded em um arquivo de documentação. Embora possa ser um exemplo, representa um risco se for um token válido ou se ensinar práticas inseguras.
81 | - **Risco**: Médio.
82 | - **Recomendação**: Substituir por um placeholder ou exemplo claramente inválido na documentação.
83 |
84 | ### 5. Integração do Gitleaks na Pipeline
85 |
86 | Foi adicionado um job `gitleaks_scan` ao estágio `security` da pipeline:
87 |
88 | ```yaml
89 | # Job para Secret Scanning com Gitleaks (com resumo em Markdown)
90 | gitleaks_scan:
91 | stage: security
92 | image:
93 | name: zricethezav/gitleaks:latest
94 | entrypoint: ['']
95 | before_script:
96 | - apk add --no-cache jq bash
97 | script:
98 | - gitleaks detect --source . --verbose --report-path gitleaks-report.json || true
99 | - |
100 | if [ -s gitleaks-report.json ]; then
101 | echo '# Gitleaks Scan Summary' > gitleaks-summary.md
102 | # ... (script jq para gerar resumo) ...
103 | else
104 | echo '# Gitleaks Scan Summary' > gitleaks-summary.md
105 | echo 'No secrets found or report is empty.' >> gitleaks-summary.md
106 | fi
107 | artifacts:
108 | paths:
109 | - gitleaks-report.json
110 | - gitleaks-summary.md
111 | expire_in: 1 week
112 | when: always
113 | allow_failure: true
114 | ```
115 |
116 | Este job executa o Gitleaks, gera um relatório JSON completo e um resumo em Markdown (`gitleaks-summary.md`) para facilitar a visualização dos resultados.
117 |
118 | **Resumo dos Achados do Gitleaks (Exemplo do `gitleaks-summary.md` gerado):**
119 |
120 | ```markdown
121 | # Gitleaks Scan Summary
122 |
123 | ## Secrets Found:
124 |
125 | ### Finding Type: generic-api-key
126 | - **Description:** Detected a Generic API Key...
127 | - **File:** .gitlab-ci.yml
128 | - **Line:** 10
129 | - **Secret:** `51xTbvyHGmEfeZZUxUct`
130 | ...
131 | ---
132 | ### Finding Type: jwt
133 | - **Description:** Uncovered a JSON Web Token...
134 | - **File:** docs/development-guides/pt-br/api.rst
135 | - **Line:** 30
136 | - **Secret:** `eyJhbGciOiJIUzI1NiIsIn...`
137 | ...
138 | ---
139 | ### Finding Type: generic-api-key
140 | - **Description:** Detected a Generic API Key...
141 | - **File:** src/ej_users/tests/test_api.py
142 | - **Line:** 129
143 | - **Secret:** `8d969eef6ecad3c29a3a6...`
144 | ...
145 | ---
146 | ```
147 | *(Nota: O conteúdo completo do resumo gerado pela pipeline deve ser consultado no artefato `gitleaks-summary.md`)*
148 |
149 | ## Recomendações Gerais (Reforçadas pela Análise Automatizada)
150 |
151 | 1. **Utilizar Variáveis de Ambiente / Secrets Management**: Prioridade máxima para remover `GITLAB_EJ_TOKEN`, `DJANGO_SECRET_KEY`, `JWT_SECRET` dos arquivos versionados.
152 | 2. **`.gitignore`**: Adicionar `variables.env` imediatamente ao `.gitignore`.
153 | 3. **GitLab CI/CD Variables**: Configurar os tokens e chaves necessários para a pipeline como variáveis protegidas e mascaradas.
154 | 4. **Secret Scanning Contínuo**: Manter o Gitleaks ativo na pipeline. Considerar torná-lo bloqueante (`allow_failure: false`) para novos segredos detectados após a limpeza inicial.
155 | 5. **Revisão de Código**: Manter a verificação de secrets como parte do processo de revisão.
156 | 6. **Rotação de Secrets**: Rotacionar imediatamente o `GITLAB_EJ_TOKEN`, `DJANGO_SECRET_KEY` e `JWT_SECRET` expostos.
157 | 7. **Limpeza de Histórico (Avançado/Opcional)**: Para segredos expostos há muito tempo, considerar ferramentas para limpar o histórico do Git (complexo e arriscado, avaliar necessidade).
158 | 8. **Revisar Documentação e Testes**: Remover ou substituir secrets hardcoded em arquivos de documentação e testes.
159 |
160 | ## Conclusão
161 |
162 | A análise combinada (manual e automatizada com Gitleaks) confirmou a presença de múltiplos secrets hardcoded, representando riscos significativos. A integração do Gitleaks na pipeline fornece um mecanismo de detecção contínua essencial. A implementação das recomendações, especialmente a remoção de secrets dos arquivos versionados e a rotação dos valores expostos, é crucial para melhorar a postura de segurança do projeto EJ-Application.
163 |
--------------------------------------------------------------------------------
/2025.1/MEPA/BlueTeam/relatorios/sprint1.md:
--------------------------------------------------------------------------------
1 | # SPRINT 1 - MEPA BLUE TEAM
2 |
3 | ## Integrantes
4 |
5 | - **Ricardo Augusto Valle Maciel** - 180077899 - [@avmricardo](https://github.com/avmricardo)
6 | - **Mateus Orlando Medeiros Ribeiro** - 211062259 - [@MateusPy](https://github.com/MateusPy)
7 | - **Danilo Carvalho Antunes** - 211039312 - [@Danilo-Carvalho-Antunes](https://github.com/Danilo-Carvalho-Antunes)
8 |
9 | ---
10 |
11 | ## 🛡️ Atividades de Capacitação Realizadas
12 |
13 | 1 - ✅ Conclusão da trilha “Pre Security” – TryHackMe
14 |
15 | Conteúdos abordados:
16 |
17 | - Fundamentos de segurança defensiva (Blue Team).
18 |
19 | - Operação de Security Operations Center (SOC).
20 |
21 | - Threat Intelligence (Inteligência de Ameaças).
22 |
23 | - Digital Forensics and Incident Response (DFIR).
24 |
25 | - Malware Analysis (Análise de Malware).
26 |
27 |
28 | 2 - ⚙️ Estudos da trilha “DevSecOps” – TryHackMe
29 |
30 | Conteúdos abordados:
31 |
32 | - Integração da segurança no ciclo de desenvolvimento (DevSecOps).
33 |
34 | - Práticas de segurança em pipelines CI/CD.
35 |
36 | - Ferramentas e técnicas para automação de análise de vulnerabilidades no desenvolvimento.
37 |
38 | - Gerenciamento de dependências e análise de containers.
39 |
40 |
41 | ## 💻 Atividades Práticas Realizadas
42 |
43 | 1 - ✅ Ambiente do Projeto MEPA configurado localmente:
44 |
45 | - Clonamos o repositório do projeto.
46 |
47 | - Realizamos o setup do ambiente na nossa máquina (configuração de dependências, banco de dados e serviços necessários).
48 |
49 | - Iniciamos o processo de análise do código e levantamento de pontos de atenção relacionados à segurança e possíveis melhorias.
50 |
51 | 2 - ⚙️ Análise inicial das Issues:
52 |
53 | - Começamos a estudar a Issue aberta no repositório, a qual pedia a criação de um SAST(Static Application Security Testing) caso o projeto não possuísse um.
54 |
55 | - O que é um SAST: É uma técnica de análise de segurança que examina o código fonte, bytecode ou binário de um software sem executá-lo.
56 |
57 | - Analisamos o repositório [MEPA Energia API](https://gitlab.com/lappis-unb/projetos-energia/mec-energia/mec-energia-api) e observamos que não havia SAST implementado na pipeline do projeto. Então fomos estudar a ferramenta Bandit que foi indicado pelo monitor na própria issue.
58 |
59 | - Após um estudo detalhado da documentação do Bandit, [disponível aqui](https://bandit.readthedocs.io/en/latest/), o integrante Ricardo Augusto criou um fork para implementarmos um JOB de SAST na pipeline do projeto.
60 |
61 | - Ao final, o JOB que criamos ficou assim:
62 |
63 | 
64 |
65 |
66 | - Vamos detalhar melhor o que cada parte faz:
67 |
68 | - 1: Bloco Principal - Define o nome do job. Esse nome aparece na interface do GitLab CI/CD quando o pipeline roda.
69 |
70 | ```
71 | sast-bandit:
72 | ```
73 |
74 | - 2: Stage - O job será executado na etapa chamada quality.
75 | Essa etapa geralmente agrupa jobs relacionados a qualidade de código, análise estática (SAST), linters, etc.
76 |
77 | ```
78 | stage: quality
79 | ```
80 |
81 | - 3: Imagem - O job usará uma imagem Docker com Python 3.11 como ambiente de execução.
82 |
83 | ```
84 | image: python:3.11
85 | ```
86 |
87 |
88 | - 4: Antes de Rodar (before_script) - Antes de executar o script principal, instala o Bandit, que é a ferramenta de análise estática de segurança para código Python.
89 |
90 | ```
91 | before_script:
92 | - pip install bandit
93 | ```
94 |
95 |
96 | - 5: Script Principal
97 |
98 | - Imprime a mensagem "Rodando Bandit (SAST) no projeto" no log do pipeline, de forma informativa.
99 |
100 | - Comando que roda o Bandit(bandit -r . -ll -f json -o bandit-report.json):
101 |
102 | - -r . → Faz uma análise recursiva na raiz (.) do projeto.
103 |
104 | - -ll → Define o nível de detalhe do log como "low severity" (baixo), mostrando mais informações.
105 |
106 | - -f json → Formata o output no formato JSON.
107 |
108 | - -o bandit-report.json → Salva o resultado no arquivo chamado bandit-report.json.
109 |
110 | ```
111 | script:
112 | - echo "Rodando Bandit (SAST) no projeto"
113 | - bandit -r . -ll -f json -o bandit-report.json
114 | ```
115 |
116 | - 6: Artefatos
117 |
118 | - paths → Indica quais arquivos serão salvos como artefatos do job (bandit-report.json).
119 |
120 | - when: always → Salva os artefatos sempre, mesmo se o job falhar.
121 |
122 | - expire_in: 1 week → Os artefatos ficam disponíveis para download no GitLab por 1 semana.
123 |
124 | ```
125 | artifacts:
126 | paths:
127 | - bandit-report.json
128 | when: always
129 | expire_in: 1 week
130 | ```
131 | - 7: Permitir Falha (não quebra o pipeline) - Mesmo que o Bandit encontre vulnerabilidades (ou até erros), o pipeline não falha, ele apenas registra o problema. Isso permite que o pipeline continue executando as próximas etapas.
132 |
133 | ```
134 | allow_failure: true
135 | ```
136 |
137 | - 8: Regras de Execução - Define quando esse job será executado.
138 |
139 | - Se o pipeline for disparado por um Merge Request (merge_request_event), o job roda.
140 |
141 | - Se o pipeline for disparado por um Push (push) no repositório, o job também roda.
142 |
143 | ```
144 | rules:
145 | - if: $CI_PIPELINE_SOURCE == 'merge_request_event'
146 | - if: $CI_PIPELINE_SOURCE == 'push'
147 | ```
148 |
149 | ## Resultados
150 |
151 | 
152 |
153 | - A pipeline rodou conforme o esperado, abaixo disponibilizamos alguns prints dos testes realizados pelos alunos Mateus Orlando e Ricardo Augusto:
154 |
155 | - 1: Imagem de um merge teste antes de subirmos o JOB do Bandit:
156 |
157 | 
158 |
159 | - 2: Imagem do merge após a integração do JOB do Bandit:
160 |
161 | 
162 |
163 | - 3: Imagens do arquivo de relatório .jason, que foi criado após a passagem na pipeline.
164 | - Imagem 1:
165 | 
166 | - Imagem 2:
167 | 
168 |
169 | - 4: Imagem mostrando que a pipeline gerou Warnings. Os quais são motivamos por pontos de possíveis SQL injections, possível binding para todas as interfaces e Possível XSS (Cross-Site Scripting).
170 |
171 | 
172 |
173 | - Então, como resultado foram apontados 0 problemas de severidade alta, 6 problemas de severidade média, e 356 de baixa.
174 |
175 | Métricas Principais
176 | Total de arquivos analisados: 175
177 | Problemas encontrados: 6
178 | Problemas por gravidade:
179 | Severidade Média: 6
180 | Severidade Baixa: 356
181 | Problemas por confiança:
182 | Alta confiança: 321
183 | Média confiança: 38
184 | Baixa confiança: 3
185 |
186 |
187 |
188 | ## 📈 Próximos Passos
189 |
190 | - Aprofundar o entendimento da arquitetura do projeto MEPA.
191 |
192 | - Verificar a veracidade do relatório gerado pelo JOB do SAST.
193 |
194 | - Aplicar os conhecimentos adquiridos em DevSecOps para identificar possíveis vulnerabilidades no ciclo de desenvolvimento e propor melhorias.
195 |
196 | - Trabalhar na resolução de issues abertas, priorizando aquelas relacionadas à segurança, estabilidade e boas práticas de desenvolvimento seguro.
197 |
--------------------------------------------------------------------------------
/2025.1/MEPA/BlueTeam/relatorios/sprint2.md:
--------------------------------------------------------------------------------
1 | # SPRINT 2 - MEPA BLUE TEAM
2 |
3 | ## Integrantes
4 |
5 | - **Ricardo Augusto Valle Maciel** - 180077899 - [@avmricardo](https://github.com/avmricardo)
6 | - **Mateus Orlando Medeiros Ribeiro** - 211062259 - [@MateusPy](https://github.com/MateusPy)
7 | - **Danilo Carvalho Antunes** - 211039312 - [@Danilo-Carvalho-Antunes](https://github.com/Danilo-Carvalho-Antunes)
8 |
9 | ---
10 |
11 | ## 🛡️ Atividades de Capacitação Realizadas
12 |
13 | ### 1 - ⚙️ Estudos da trilha “DevSecOps” – TryHackMe
14 |
15 | **Conteúdos abordados:**
16 |
17 | - Integração da segurança ao ciclo de desenvolvimento (DevSecOps).
18 | - Práticas de segurança em pipelines CI/CD.
19 | - Ferramentas e técnicas para automação de análise de vulnerabilidades.
20 | - Gerenciamento de dependências e análise de containers.
21 |
22 | ### 2 - ⚙️ Estudos iniciais sobre Web Application Firewalls (WAF) e OWASP Coraza
23 |
24 | **Conteúdos em estudo:**
25 |
26 | - Conceitos fundamentais de WAFs: o que são, como funcionam e sua importância em aplicações web modernas.
27 | - Tipos de WAFs: baseados em rede, host e nuvem.
28 | - Introdução ao OWASP Coraza: estrutura, benefícios e funcionalidades principais.
29 | - Integração do Coraza com servidores proxy reverso como Nginx e Caddy.
30 | - Estudo das documentações:
31 | - [OWASP Coraza Web Application Firewall](https://owasp.org/www-project-coraza-web-application-firewall/)
32 | - [OWASP Coraza - Quick Start Guide](https://coraza.io/docs/tutorials/quick-start/#requirements)
33 | - Análise de cenários de uso do Coraza na proteção de APIs Python.
34 |
35 | ---
36 |
37 | ## 💻 Atividades Práticas Realizadas
38 |
39 | ### 1 - ✅ Análise das vulnerabilidades encontradas na [issue 1](../relatorios/sprint1.md)
40 |
41 | - A partir das vulnerabilidades de nível médio apontadas pelo Bandit no repositório do MEPA API, foi feita uma análise detalhada dos trechos de código afetados.
42 | - Criamos um documento interno com anotações sobre os principais pontos levantados.
43 | - Iniciamos discussões sobre possíveis correções e como o uso de um WAF poderá complementar as proteções oferecidas pelo SAST.
44 |
45 | ---
46 |
47 | ## 📈 Próximos Passos
48 |
49 | - Iniciar a implementação de um ambiente de testes com o Coraza atuando como WAF para o back-end do MEPA.
50 | - Criar um script com regras padrão (OWASP CRS) para bloquear ataques comuns (XSS, SQLi, LFI etc.).
51 | - Avaliar o impacto do WAF no desempenho da aplicação e sua compatibilidade com as rotas existentes.
52 | - Explorar técnicas para integração dos logs do WAF com sistemas de monitoramento e geração de alertas.
53 |
--------------------------------------------------------------------------------
/2025.1/MEPA/RedTeam/imagens/burpSuite01.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/FGA-GCES/CyberSec/af7db39e25cb2957a796da536dbb1f2f486adb32/2025.1/MEPA/RedTeam/imagens/burpSuite01.png
--------------------------------------------------------------------------------
/2025.1/MEPA/RedTeam/imagens/burpSuite02.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/FGA-GCES/CyberSec/af7db39e25cb2957a796da536dbb1f2f486adb32/2025.1/MEPA/RedTeam/imagens/burpSuite02.png
--------------------------------------------------------------------------------
/2025.1/MEPA/RedTeam/imagens/burpSuite03.png:
--------------------------------------------------------------------------------
https://raw.githubusercontent.com/FGA-GCES/CyberSec/af7db39e25cb2957a796da536dbb1f2f486adb32/2025.1/MEPA/RedTeam/imagens/burpSuite03.png
--------------------------------------------------------------------------------
/2025.1/MEPA/RedTeam/relatorios/sprint1.md:
--------------------------------------------------------------------------------
1 | # Relatório Sprint 1
2 |
3 | ## MEPA RED TEAM
4 |
5 | * Carlos - 221031265
6 | * João - 200058525
7 | * Luis - 180066161
8 | * Vinicius - 160147816
9 |
10 | ## Atividades realizadas
11 |
12 | Durante esta sprint focamos nas seguintes atividades principais:
13 |
14 | * **Configuração do ambiente**: Subimos o ambiente do MEPA localmente em nossas máquinas.
15 |
16 | * **Exploração inicial da estrutura do projeto**: Realizamos uma análise preliminar da arquitetura e das rotas da API do MEPA, com o objetivo de identificar pontos que possam ser suscetíveis a vulnerabilidades do tipo SSRF.
17 |
18 | * **Estudo sobre SSRF (Server-Side Request Forgery)**: Dedicamos tempo ao estudo teórico sobre a vulnerabilidade SSRF, utilizando as referências de estudo.
19 |
20 | * **Testes para identificar SSRF (Server-Side Request Forgery)**: Dedicamos tempo a testes práticos para tentar encontrar vulnerabilidades do tipo SSRF.
21 |
22 |
23 | ## Exploração inicial
24 |
25 | ### Teste com `curl`
26 |
27 | Executamos um teste básico utilizando `curl` para verificar o comportamento da aplicação ao receber uma URL como parâmetro:
28 |
29 | ```
30 | curl -L -v "http://localhost:8000/api?next=http://localhost:8000/api/admin/" -H "Cookie: sessionid=s24ols0or42p5ib616yv1q3wglcvi3le"
31 | ```
32 |
33 | O objetivo era verificar se a aplicação realiza alguma requisição server-side para o endereço fornecido no parâmetro `next`, comportamento característico de uma vulnerabilidade SSRF.
34 |
35 | ### Fuzzing com FFUF
36 |
37 | Realizamos fuzzing utilizando o **FFUF** para explorar potenciais pontos vulneráveis nas rotas da API do MEPA, enviando URLs para verificar se a aplicação realiza requisições.
38 |
39 | Exemplo de um dos testes realizados:
40 |
41 | ```
42 | ffuf -u "http://localhost:8000/api/reset-password/?FUZZ=https://webhook.site/b68374b4-2735-4223-92df-eb8b00bb7610" -H "Authorization: Bearer d71d2033f406250611bf1f09471f56ba2aab7f4c" -w wordlist-ssrf.txt -fs 0
43 | ```
44 |
45 | ```
46 | /'___\ /'___\ /'___\
47 | /\ \__/ /\ \__/ __ __ /\ \__/
48 | \ \ ,__\\ \ ,__\/\ \/\ \ \ \ ,__\
49 | \ \ \_/ \ \ \_/\ \ \_\ \ \ \ \_/
50 | \ \_\ \ \_\ \ \____/ \ \_\
51 | \/_/ \/_/ \/___/ \/_/
52 |
53 | v2.1.0-dev
54 | ________________________________________________
55 |
56 | :: Method : GET
57 | :: URL : http://localhost:8000/api/reset-password/?FUZZ=https://webhook.site/b68374b4-2735-4223-92df-eb8b00bb7610
58 | :: Wordlist : FUZZ: /home/carlos/Documentos/UnB/2025.1/GCES/SSRF/wordlist-ssrf.txt
59 | :: Header : Authorization: Bearer d71d2033f406250611bf1f09471f56ba2aab7f4c
60 | :: Follow redirects : false
61 | :: Calibration : false
62 | :: Timeout : 10
63 | :: Threads : 40
64 | :: Matcher : Response status: 200-299,301,302,307,401,403,405,500
65 | :: Filter : Response size: 0
66 | ________________________________________________
67 |
68 | :: Progress: [6477/6477] :: Job [1/1] :: 28 req/sec :: Duration: [0:04:33] :: Errors: 0 ::
69 | ```
70 |
71 | ### Teste com Burp Suite
72 |
73 | Para identificar SSRFs, utilizamos o **Burp Suite**, uma ferramenta especializada em analisar e manipular o tráfego de rede. Com ela fizemos a verificação das requisições enviadas ao servidor pelo cliente.
74 |
75 | Algumas das requisições que verificamos foram:
76 | * Login e logout;
77 | * Visualização das listas de unidades consumidoras, suas tarifas e dados do usuário;
78 | * Edição de dados do usuário;
79 | * Criação e modificação de unidades consumidoras;
80 | * Criação e modificação de tarifas de unidades consumidoras;
81 |
82 |
95 |
117 |
118 |
96 | try_except_pass: Try, Except, Pass detected.
97 | Test ID: B110
98 | Severity: LOW
99 | Confidence: HIGH
100 | CWE: CWE-703
101 | File: src/ej/components/menu.py
102 | Line number: 28
103 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
104 | 105 |
116 | 97 | Test ID: B110
98 | Severity: LOW
99 | Confidence: HIGH
100 | CWE: CWE-703
101 | File: src/ej/components/menu.py
102 | Line number: 28
103 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
104 | 105 |
106 |
113 |
114 |
115 | 107 | 27 apps_links.append(app_menu) 108 | 28 except Exception: 109 | 29 pass 110 | 30 return apps_links 111 |112 |
119 |
141 |
142 |
120 | try_except_pass: Try, Except, Pass detected.
121 | Test ID: B110
122 | Severity: LOW
123 | Confidence: HIGH
124 | CWE: CWE-703
125 | File: src/ej/settings/apps.py
126 | Line number: 73
127 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
128 | 129 |
140 | 121 | Test ID: B110
122 | Severity: LOW
123 | Confidence: HIGH
124 | CWE: CWE-703
125 | File: src/ej/settings/apps.py
126 | Line number: 73
127 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
128 | 129 |
130 |
137 |
138 |
139 |
131 | 72 log.info(f"Adding {app} app to project apps list")
132 | 73 except Exception:
133 | 74 pass
134 | 75 return submodule_apps
135 |
136 |
143 |
164 |
165 |
144 | exec_used: Use of exec detected.
145 | Test ID: B102
146 | Severity: MEDIUM
147 | Confidence: HIGH
148 | CWE: CWE-78
149 | File: src/ej/settings/themes.py
150 | Line number: 23
151 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b102_exec_used.html
152 | 153 |
163 | 145 | Test ID: B102
146 | Severity: MEDIUM
147 | Confidence: HIGH
148 | CWE: CWE-78
149 | File: src/ej/settings/themes.py
150 | Line number: 23
151 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b102_exec_used.html
152 | 153 |
154 |
160 |
161 |
162 |
155 | 22 globs = dict(settings)
156 | 23 exec(data, globs)
157 | 24 globs = {k: v for k, v in globs.items() if k.isupper()}
158 |
159 |
166 |
188 |
189 |
167 | try_except_pass: Try, Except, Pass detected.
168 | Test ID: B110
169 | Severity: LOW
170 | Confidence: HIGH
171 | CWE: CWE-703
172 | File: src/ej/urls.py
173 | Line number: 70
174 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
175 | 176 |
187 | 168 | Test ID: B110
169 | Severity: LOW
170 | Confidence: HIGH
171 | CWE: CWE-703
172 | File: src/ej/urls.py
173 | Line number: 70
174 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
175 | 176 |
177 |
184 |
185 |
186 |
178 | 69 log.info(f"Including {app_config} URLs using get_apps_dynamic_urls()")
179 | 70 except Exception:
180 | 71 pass
181 | 72 return apps_urls
182 |
183 |
190 |
211 |
212 |
191 | blacklist: Consider possible security implications associated with picklefield module.
192 | Test ID: B403
193 | Severity: LOW
194 | Confidence: HIGH
195 | CWE: CWE-502
196 | File: src/ej_conversations/fields.py
197 | Line number: 1
198 | More info: https://bandit.readthedocs.io/en/1.8.3/blacklists/blacklist_imports.html#b403-import-pickle
199 | 200 |
210 | 192 | Test ID: B403
193 | Severity: LOW
194 | Confidence: HIGH
195 | CWE: CWE-502
196 | File: src/ej_conversations/fields.py
197 | Line number: 1
198 | More info: https://bandit.readthedocs.io/en/1.8.3/blacklists/blacklist_imports.html#b403-import-pickle
199 | 200 |
201 |
207 |
208 |
209 | 202 | 1 import picklefield 203 | 2 204 | 3 try: 205 |206 |
213 |
235 |
236 |
214 | try_except_pass: Try, Except, Pass detected.
215 | Test ID: B110
216 | Severity: LOW
217 | Confidence: HIGH
218 | CWE: CWE-703
219 | File: src/ej_conversations/models/conversation.py
220 | Line number: 437
221 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
222 | 223 |
234 | 215 | Test ID: B110
216 | Severity: LOW
217 | Confidence: HIGH
218 | CWE: CWE-703
219 | File: src/ej_conversations/models/conversation.py
220 | Line number: 437
221 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
222 | 223 |
224 |
231 |
232 |
233 | 225 | 436 ) 226 | 437 except Exception: 227 | 438 pass 228 | 439 return self.next_comment(user) 229 |230 |
237 |
259 |
260 |
238 | try_except_pass: Try, Except, Pass detected.
239 | Test ID: B110
240 | Severity: LOW
241 | Confidence: HIGH
242 | CWE: CWE-703
243 | File: src/ej_conversations/serializers.py
244 | Line number: 223
245 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
246 | 247 |
258 | 239 | Test ID: B110
240 | Severity: LOW
241 | Confidence: HIGH
242 | CWE: CWE-703
243 | File: src/ej_conversations/serializers.py
244 | Line number: 223
245 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
246 | 247 |
248 |
255 |
256 |
257 | 249 | 222 return skipped_vote 250 | 223 except Exception: 251 | 224 pass 252 | 225 if vote.id is None: 253 |254 |
261 |
283 |
284 |
262 | try_except_pass: Try, Except, Pass detected.
263 | Test ID: B110
264 | Severity: LOW
265 | Confidence: HIGH
266 | CWE: CWE-703
267 | File: src/ej_dataviz/views/filters.py
268 | Line number: 91
269 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
270 | 271 |
282 | 263 | Test ID: B110
264 | Severity: LOW
265 | Confidence: HIGH
266 | CWE: CWE-703
267 | File: src/ej_dataviz/views/filters.py
268 | Line number: 91
269 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b110_try_except_pass.html
270 | 271 |
272 |
279 |
280 |
281 | 273 | 90 self.clusters_filters.append(cluster.name) 274 | 91 except Exception: 275 | 92 pass 276 | 93 dataframe_utils = self.get_dataframe_utils(df) 277 |278 |
285 |
306 |
307 |
286 | jinja2_autoescape_false: By default, jinja2 sets autoescape to False. Consider using autoescape=True or use the select_autoescape function to mitigate XSS vulnerabilities.
287 | Test ID: B701
288 | Severity: HIGH
289 | Confidence: HIGH
290 | CWE: CWE-94
291 | File: src/ej_integrations/mailing.py
292 | Line number: 60
293 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b701_jinja2_autoescape_false.html
294 | 295 |
305 | 287 | Test ID: B701
288 | Severity: HIGH
289 | Confidence: HIGH
290 | CWE: CWE-94
291 | File: src/ej_integrations/mailing.py
292 | Line number: 60
293 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b701_jinja2_autoescape_false.html
294 | 295 |
296 |
302 |
303 |
304 | 297 | 59 templates_dir = os.path.join(root, "./jinja2/ej_integrations") 298 | 60 env = Environment(loader=FileSystemLoader(templates_dir)) 299 | 61 host = get_host_with_schema(self.request) 300 |301 |
308 |
329 |
330 |
309 | request_without_timeout: Call to requests without timeout
310 | Test ID: B113
311 | Severity: MEDIUM
312 | Confidence: LOW
313 | CWE: CWE-400
314 | File: src/ej_integrations/utils.py
315 | Line number: 6
316 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b113_request_without_timeout.html
317 | 318 |
328 | 310 | Test ID: B113
311 | Severity: MEDIUM
312 | Confidence: LOW
313 | CWE: CWE-400
314 | File: src/ej_integrations/utils.py
315 | Line number: 6
316 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b113_request_without_timeout.html
317 | 318 |
319 |
325 |
326 |
327 | 320 | 5 def get_npm_tag(url=BASE_URL_NPM): 321 | 6 version = get(url) 322 | 7 return version 323 |324 |
331 |
352 |
353 |
332 | hashlib: Use of weak MD5 hash for security. Consider usedforsecurity=False
333 | Test ID: B324
334 | Severity: HIGH
335 | Confidence: HIGH
336 | CWE: CWE-327
337 | File: src/ej_profiles/models.py
338 | Line number: 326
339 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b324_hashlib.html
340 | 341 |
351 | 333 | Test ID: B324
334 | Severity: HIGH
335 | Confidence: HIGH
336 | CWE: CWE-327
337 | File: src/ej_profiles/models.py
338 | Line number: 326
339 | More info: https://bandit.readthedocs.io/en/1.8.3/plugins/b324_hashlib.html
340 | 341 |
342 |
348 |
349 |
350 |
343 | 325 """
344 | 326 digest = hashlib.md5(id_.encode("utf-8")).hexdigest()
345 | 327 return "https://gravatar.com/avatar/{}?s=40&d=mm".format(digest)
346 |
347 | 83 | 84 |  85 | 86 |  87 | 88 |  89 | 90 |
91 | 92 | **Nenhuma vulnerabilidade foi descoberta** como resultado de nossos testes. Entretanto, isso não significa que uma vulnerabilidade não exista, pois nossos testes não abrangeram 100% das possíveis requisições que um usuário pode realizar. 93 | 94 | 95 | ## Dificuldades encontradas 96 | 97 | * Determinar quais pontos da aplicação são, de fato, suscetíveis à exploração de SSRF. 98 | * Dificuldade inicial em entender como processar as informações que o **Burp Suite** apresenta, diferenciando aquelas que realmente podem levar a uma vulnerabilidade de outras informações. 99 | 100 | ## Próximos passos 101 | 102 | * Aprofundar a análise de possíveis pontos vulneráveis. 103 | * Realizar mais testes práticos de SSRF utilizando ferramentas especializadas, como **SSRFmap** e **Burp Suite**, para ter certeza que não há tal vulnerabilidade. 104 | * Iniciar o estudo sobre Insecure Direct Object References (IDOR). 105 | -------------------------------------------------------------------------------- /2025.1/Tainacan/BlueTeam/Relatorios/sprint_2/Relatorio2.md: -------------------------------------------------------------------------------- 1 | 2 | # Relatório de segurança sobre a exposição de credenciais sensíveis (Sprint 2) 3 | 4 | ## Objetivo 5 | 6 | Este relatório apresenta uma análise do projeto Tainacan quanto a senhas, informações sensíveis ou quaisquer dados semelhantes que possam comprometer a segurança do sistema. O documento abrange a análise manual e descobertas recentes obtidas com o uso da ferramenta **Gitleaks**, que escaneia todo o histórico do repositório em busca de segredos. 7 | 8 | ## 1. Análise dos arquivos referêntes ao workflow 9 | 10 | ### 1.1 Análise do arquivo `/workflows/test.yml` 11 | 12 | - **Sem exposição de chaves de API ou tokens**. 13 | - **Sem uso de senhas hardcoded diretamente no arquivo**. 14 | 15 | ### 1.2 Análise do script `install-wp-tests.sh` 16 | 17 | - **As credenciais (DB_NAME, DB_USER, DB_PASS)** são recebidas via argumentos, e não hardcoded. 18 | 19 | ### 1.3 Riscos e Oportunidades de Melhoria 20 | 21 | ```plaintext 22 | - Descrição: A senha do banco é passada como argumento do script ($3) e, posteriormente, usada diretamente no comando 23 | mysqladmin --password=..., o que a torna visível em ferramentas como ps, no histórico de shell ou em logs de CI/CD. 24 | - Risco: Exposição de senha por argumentos de linha de comando e comandos internos 25 | - Recomendação: Evitar o uso de senhas como argumento ou diretamente nos comandos. 26 | Preferir o uso de variáveis de ambiente seguras. Armazenar a senha em um arquivo de configuração fora do 27 | versionamento (como .env). 28 | ``` 29 | 30 | ## 2. Uso do Gitleaks para Detecção de Segredos 31 | 32 | ### 2.1 O que é o Gitleaks? 33 | 34 | - Ferramenta open-source para detectar **segredos, tokens, chaves de API, senhas, e outras informações sensíveis** em repositórios Git. 35 | - Pode escanear tanto os arquivos atuais quanto o **histórico completo de commits**, encontrando segredos mesmo que tenham sido removidos posteriormente. 36 | 37 | ### 2.2 Como o Gitleaks funciona? 38 | 39 | - **Escaneia todo o histórico Git por padrão**: percorre cada commit, analisando cada arquivo naquela versão. 40 | - Isso significa que segredos expostos em commits antigos **serão reportados mesmo que não existam mais no código atual**. 41 | - Também pode rodar em modo “snapshot” para analisar apenas o estado atual dos arquivos. 42 | 43 | ### 2.3 Resultados do Scan no Repositório 44 | 45 | - Foram encontrados **4 leaks** no histórico, incluindo: 46 | - Chaves genéricas de API hardcoded. 47 | ```plaintext 48 | - File: src/classes/importer/class-tainacan-flickr-importer.php 49 | - Linha: 13 50 | - Leak: apiKeyValue = 'xxxxxxxxxxx' 51 | - Commit: Ainda presente no repositório atual e encontrado nos commits: 47ea0d6a16f62cc369d0db9fc7853add2652a4c7 e 5415ef525b2d28d77efd864f2f496061785e78a7 52 | - Descrição: Essa chave é usada para acessar os serviços da API pública do Flickr. 53 | Apesar de APIs públicas como essa parecerem inofensivas à primeira vista, manter a chave embutida diretamente no 54 | código-fonte público pode trazer problemas, especialmente se a conta estiver associada a funcionalidades 55 | avançadas ou integradas com credenciais adicionais. 56 | - Riscos: Uso indevido por terceiros, que podem consumir a cota da API, resultando em indisponibilidade para os usuários legítimos. 57 | Associação reputacional, com qualquer uso malicioso da chave (como para scraping ou spam) podendo recair sobre o titular da conta Flickr, 58 | impactando negativamente a reputação do projeto. 59 | ``` 60 | - Chave de API do Google Cloud Platform (GCP). 61 | ```plaintext 62 | - File: src/classes/importer/class-tainacan-youtube-importer.php 63 | - Linha: 27 64 | - Leak: 'xxxxxxxxxxxx' 65 | - Commit: c1603aa9c1c2663e75e2ea5640485248b9df15c0 66 | - Descrição: Essa chave pertence aos serviços da Google Cloud, provavelmente usada para a API do YouTube. 67 | Embora muitas dessas chaves tenham restrições de domínio ou IP, ao estarem publicadas, ficam sujeitas a engenharia reversa, 68 | scraping automatizado e abusos por terceiros. 69 | - Riscos: Consumo indevido de cotas da API, gerando custos para o projeto. Possível uso para coleta de dados de forma automatizada e indevida 70 | (ex: vídeos, estatísticas). Se não estiver limitada por IP ou domínio, pode ser usada para ataques de negação de serviço (DoS) ou atividades ilícitas. 71 | ``` 72 | - Token em script shell. 73 | ```plaintext 74 | - File: tainacam/run-cypress.sh 75 | - Linha: 16 76 | - Leak: cy_record_key='xxxxxxxxxxxxx' 77 | - Commit: a4bf702203087dcc99455101df9a67ab6507e3ab 78 | - Descrição: Trata-se de uma chave genérica que parece ser usada em testes automatizados com Cypress (cy_record_key). 79 | Mesmo se usada apenas em ambientes de desenvolvimento, essa chave também deve ser mantida fora do repositório. 80 | - Riscos: Possível acesso por terceiros aos resultados de testes, logs ou falhas internas. 81 | Exposição de pipelines de testes ou comportamento da aplicação em execução. 82 | ``` 83 | 84 | ### 2.4 O que o relatório do Gitleaks mostra? 85 | 86 | - O relatório **exibe o trecho exato encontrado, o arquivo, linha, commit e autor do commit**. 87 | - Mostra detalhes como o tipo de segredo detectado, para facilitar a análise. 88 | - Não é apenas um indicativo de arquivo suspeito, ele mostra exatamente o conteúdo que foi considerado leak. 89 | 90 | ## 3. Conclusão Geral 91 | 92 | - O histórico Git contém registros de segredos sensíveis que devem ser tratados para evitar exposição, além de senhas que ainda estão presentes no repositório atual. 93 | - Passar credenciais via argumentos no script pode representar riscos adicionais. 94 | -------------------------------------------------------------------------------- /2025.1/Tainacan/RedTeam/readme.md: -------------------------------------------------------------------------------- 1 | # Como iniciar os ataques locais? 2 | 3 | Crie uma estrutura de pasta e arquivos em seu computador como a seguir 4 | ``` 5 | ./ 6 | ├── wp-content/ 7 | └── docker-compose.yml 8 | ``` 9 | 10 | Dentro do arquivo `docker-compose.yml` insira: 11 | ```yml 12 | version: "3.6" 13 | 14 | services: 15 | wordpress: 16 | image: wordpress:latest 17 | container_name: wordpress 18 | volumes: 19 | - ./wp-content:/var/www/html/wp-content 20 | environment: 21 | - WORDPRESS_DB_NAME=wordpress 22 | - WORDPRESS_TABLE_PREFIX=wp_ 23 | - WORDPRESS_DB_HOST=db 24 | - WORDPRESS_DB_USER=root 25 | - WORDPRESS_DB_PASSWORD=password 26 | depends_on: 27 | - db 28 | - phpmyadmin 29 | restart: always 30 | ports: 31 | - 8080:80 32 | 33 | db: 34 | image: mariadb:latest 35 | container_name: db 36 | volumes: 37 | - db_data:/var/lib/mysql 38 | environment: 39 | - MYSQL_ROOT_PASSWORD=password 40 | - MYSQL_USER=root 41 | - MYSQL_PASSWORD=password 42 | - MYSQL_DATABASE=wordpress 43 | restart: always 44 | 45 | phpmyadmin: 46 | depends_on: 47 | - db 48 | image: phpmyadmin/phpmyadmin:latest 49 | container_name: phpmyadmin 50 | restart: always 51 | ports: 52 | - 8180:80 53 | environment: 54 | PMA_HOST: db 55 | MYSQL_ROOT_PASSWORD: password 56 | 57 | volumes: 58 | db_data: 59 | ``` 60 | 61 | Agora basta rodar o comando em seu terminal 62 | ```bash 63 | docker compose up 64 | ``` 65 | 66 | Entrar na url http://localhost:8080, configurar o servidor wordpress e instalar na aba de plugins o tainacan e partir para o ataque 67 | -------------------------------------------------------------------------------- /2025.1/readme.md: -------------------------------------------------------------------------------- 1 | # 2025.1 2 | ## Projetos 3 | * [MEPA](https://gitlab.com/lappis-unb/projetos-energia) 4 | * [Tainacan](https://github.com/tainacan/tainacan) 5 | * [Empurrando Juntas](https://gitlab.com/pencillabs/ej/ej-application) 6 | 7 | ## Red Team Subgrupos 8 | 9 | ## Sub-grupo 1 - Tainacan 10 | 1. **Cauã Matheus Alves Corrêa** - 211031673 - [@CauaMatheus](https://github.com/CauaMatheus) 11 | 2. **Christian Hirsch Santos** - 211045113 - [@crstyhs](https://github.com/crstyhs) 12 | 3. **Gustavo Kenzo Araki Takechi** - 211029343 - [@gustavokenzo1](https://github.com/gustavokenzo1) 13 | 14 | ## Sub-grupo 2 - MEPA 15 | 1. **Luis Henrique Luz Costa** - 180066161 - [@luishenrrique](https://github.com/luishenrrique) 16 | 2. **João Matheus de Oliveira Schmitz** - 200058525 - [@JoaoSchmitz](https://github.com/JoaoSchmitz) 17 | 3. **Carlos Eduardo Rodrigues** - 221031265 - [@Carlos-kadu](https://github.com/Carlos-kadu) 18 | 4. **Vinicius Edwardo Pereira Oliveira** - 160147816 - [@viniciused26](https://github.com/viniciused26) 19 | 20 | ## Sub-grupo 3 - EJ 21 | 1. **Joel Soares Rangel** - 211039546 - [@JoelSRangel](https://github.com/JoelSRangel) 22 | 2. **Lucas Soares Barros** - 202017700 - [@lucaaassb](https://github.com/lucaaassb) 23 | 3. **Lucas Caldas Barbosa de Souza** - 190091606 - [@lucascaldasb](https://github.com/lucascaldasb) 24 | 25 | --- 26 | 27 | ## Blue Team Subgrupos 28 | 29 | ## Sub-grupo 1 - Tainacan 30 | 1. **Luciano de Freitas Melo** - 202016847 - [@luciano-freitas-melo](https://github.com/luciano-freitas-melo) 31 | 2. **Pedro Augusto Dourado Izarias** - 202016847 - [@Izarias](https://github.com/Izarias) 32 | 33 | ## Sub-grupo 2 - MEPA 34 | 1. **Ricardo Augusto Valle Maciel** - 180077899 - [@avmricardo](https://github.com/avmricardo) 35 | 2. **Mateus Orlando Medeiros Ribeiro** - 211062259 - [@MateusPy](https://github.com/MateusPy) 36 | 3. **Danilo Carvalho Antunes** - 211039312 - [@Danilo-Carvalho-Antunes](https://github.com/Danilo-Carvalho-Antunes) 37 | 38 | ## Sub-grupo 3 - EJ 39 | 1. **Arthur Gabriel Lima Gomes** - 200054333 - [@ArthurGabrieel](https://github.com/ArthurGabrieel) 40 | 2. **Caio Berg Carlos Leite** - 200015753 - [@Caio-bergbjj](https://github.com/Caio-bergbjj) 41 | 3. **Thiago Ribeiro Freitas** - 200028154 - [@thiagorfreitas](https://github.com/thiagorfreitas) 42 | -------------------------------------------------------------------------------- /readme.md: -------------------------------------------------------------------------------- 1 | # OWASP - GCES 2 | --- 3 | 4 | ## Sobre 5 | 6 | Este é o repositório do grupo do [Open Worldwide Application Security Project - OWASP](https://owasp.org/about/). 7 | 8 | 9 | ## Trilhas de estudo 10 | --- 11 | 12 | ## Red Team (Time de Ataque) 13 | 14 | ### Módulos Recomendados - Hack The Box Academy 15 | 16 | 1. [Getting Started](https://academy.hackthebox.com/module/details/77) 17 | 2. [Network Enumeration with Nmap](https://academy.hackthebox.com/module/details/19) 18 | 3. [SQL Injection Fundamentals](https://academy.hackthebox.com/module/details/33) 19 | 4. [SQLMap Essentials](https://academy.hackthebox.com/module/details/58) 20 | 5. [Attacking Web Applications with Ffuf](https://academy.hackthebox.com/module/details/54) 21 | 6. [Cross-Site Scripting (XSS)](https://academy.hackthebox.com/module/details/103) 22 | 7. [Command Injections](https://academy.hackthebox.com/module/details/109) 23 | 8. [Web Attacks](https://academy.hackthebox.com/module/details/134) 24 | 9. [API Attacks](https://academy.hackthebox.com/module/details/268) 25 | 10. [Web Service & API Attacks](https://academy.hackthebox.com/module/details/160) 26 | 11. [Attacking GraphQL](https://academy.hackthebox.com/module/details/271) 27 | 12. [File Upload Attacks](https://academy.hackthebox.com/module/details/136) 28 | 13. [Server-side Attacks](https://academy.hackthebox.com/module/details/145) 29 | 14. [Session Security](https://academy.hackthebox.com/module/details/153) 30 | 15. [Shells & Payloads](https://academy.hackthebox.com/module/details/115) 31 | 32 | Após a conclusão disto, siga o Pentester Path de acordo as necessidades da equipe. 33 | 34 | ### Observação 35 | 36 | - Para quem ainda não criou uma conta: [Crie sua conta aqui](https://referral.hackthebox.com/mzwMdWZ) 37 | 38 | --- 39 | 40 | ## Blue Team (Time de Defesa) 41 | 42 | ### Caminhos Recomendados - TryHackMe 43 | 44 | 1. [Pre Security](https://tryhackme.com/r/path/outline/presecurity) 45 | 2. [DevSecOps](https://tryhackme.com/r/path/outline/devsecops) 46 | 3. **(Opcional, caso reste tempo)** [Security Engineer Training](https://tryhackme.com/r/path/outline/security-engineer-training) 47 | 48 | 49 | ### Observação 50 | 51 | - [Desconto estudantil disponível](https://help.tryhackme.com/en/articles/6494960-student-discount) 52 | 53 | 54 | ## Referências Bibliográficas 55 | 56 | - **Hack The Box Academy** 57 | Disponível em: [https://academy.hackthebox.com](https://academy.hackthebox.com) 58 | 59 | - **PortSwigger Academy** 60 | Disponível em: [https://portswigger.net/web-security](https://portswigger.net/web-security) 61 | 62 | - **TryHackMe** 63 | Disponível em: [https://tryhackme.com](https://tryhackme.com) 64 | --------------------------------------------------------------------------------