{"id":205,"date":"2022-12-13T14:32:37","date_gmt":"2022-12-13T17:32:37","guid":{"rendered":"https:\/\/www.criptografarphp.com.br\/site\/sistemas-php-seguros-estou-fazendo-o-caminho-certo-vinicius-campitelli\/"},"modified":"2023-04-10T13:56:11","modified_gmt":"2023-04-10T16:56:11","slug":"sistemas-php-seguros-estou-fazendo-o-caminho-certo-vinicius-campitelli","status":"publish","type":"post","link":"https:\/\/www.criptografarphp.com.br\/site\/sistemas-php-seguros-estou-fazendo-o-caminho-certo-vinicius-campitelli\/","title":{"rendered":"Sistemas PHP seguros: estou fazendo o caminho evidente?  \u2014 Vin\u00edcius Campitelli"},"content":{"rendered":"\n<p>A maioria dos ataques a aplica\u00e7\u00f5es web ocorre devido \u00e0 falta de conhecimento de seguran\u00e7a da equipe de desenvolvimento&#8230;<br \/>\n<iframe src=\"https:\/\/www.youtube.com\/embed\/NEMwgMhGB4A\" width=\"580\" height=\"385\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\"><\/iframe><br \/>\n00:56:37<br \/>\nA maioria dos ataques a aplica\u00e7\u00f5es web ocorre devido \u00e0 falta de conhecimento de seguran\u00e7a da equipe de desenvolvimento&#8230;<\/p>\n<p>Foi a gente testa antes mas chega na hora n\u00e3o funciona na minha m\u00e1quina funciona em produ\u00e7\u00e3o n\u00e3o funciona mas vamos l\u00e1 pessoal \u00e9 quem \u00e9 que acha que faz sistemas seguros que bom se tivesse muita gente levantando a m\u00e3o estava preocupada porque vou falar um pouquinho sobre a sobre o que eu fa\u00e7o o trabalho e quanto mais o estudo seguran\u00e7a mas eu sei que eu n\u00e3o sei seguran\u00e7a \u00e9 dif\u00edcil \u00e9 bem dif\u00edcil t\u00e1 ent\u00e3o eu vou trazer algumas t\u00e9cnicas pra voc\u00eas que a gente aprendeu nos \u00faltimos anos \u00e9 algumas coisas algumas pessoas devem ter visto outras acham meio \u00f3bvias mas outras a gente nunca parou pra pensar bom estou come\u00e7ando s\u00f3 para falar um pouquinho sobre mim t\u00ednhamos aqui que eu tenho toc os slides da onu que te ame t\u00e1 ficando teleponto que replantou \u00e9 eu trabalho numa empresa de tecnologia chamada 34 tem um pessoal que na frente que veio prestigiar a gente tem 20 anos na \u00e1rea de tecnologia de produ\u00e7\u00e3o de sistemas ea maioria dos nossos programas s\u00e3o feitos em php a gente usa php para v\u00e1rias coisas inclusive processamentos a 5 nos demons \u00e9 background jogo bastante nisso ent\u00e3o eu amo php ou sempre tentando trazer um pouco do que o do que eu fa\u00e7o eu tenho uma startup tamb\u00e9m na \u00e1rea de e learning chamado conhecer duca e eu tenho que trazer para voc\u00eas nos \u00faltimos anos tem trabalhado muito com seguran\u00e7a ent\u00e3o quero trazer para voc\u00eas aqui alguns aprendizados que eu tive nessa nessa \u00e1rea t\u00e1 bom a agenda rapidinho eu sempre lembro da agenda do site do pouco mas eu vou falar sobre esses temas de um modo geral aqui t\u00e1 primeiro vou come\u00e7ar pelo asp tem eu espero que pelo menos 90% da sala saiba que eu acho o top ten se n\u00e3o por favor entre o asp \u00e9 uma organiza\u00e7\u00e3o mundial \u00e9 open web application security project ent\u00e3o o projeto que envolve v\u00e1rias pessoas que eles compilam melhores pr\u00e1ticas de desenvolvimento seguro t\u00e1 ent\u00e3o eles emitem muitos boas pr\u00e1ticas decodifica\u00e7\u00e3o emitem muito \u00e9 programas muitos sofrem muitos certificados e eles t\u00eam esse ranking que \u00e9 lan\u00e7ado n\u00e3o t\u00eam uma periodicidade muito muito mas o \u00faltimo foi em 2017 que ele elenca as principais falhas de seguran\u00e7a t\u00e1 vou passar bem rapidinho porque eu quero passar as coisas est\u00e3o mais avan\u00e7adas o \u00faltimo saiu o gol deles foi 2017 o pen\u00faltimo foi 2013 ent\u00e3o \u00e9 legal a gente acompanhar a evolu\u00e7\u00e3o ou n\u00e3o de alguns problemas quando passa muito tempo a gente v\u00ea que o mesmo problema t\u00e1 l\u00e1 no top 3 \u00e9 meio triste que significa a gente n\u00e3o t\u00e1 aprendendo \u00e9 como deveria ser esse desenvolvimento est\u00e1 passando rapidinho o primeiro problema ainda continua sendo injection o que \u00e9 legal do hospital de 2013 e 2017 eles juntaram todos os problemas de get on html sql comandante j\u00e1 tinha um s\u00f3 chamado de jackson est\u00e1 tudo bem t\u00e1 ent\u00e3o \u00e9 voc\u00ea deixar alguma linha de comando sem dar um escape necess\u00e1rio ent\u00e3o html sem fazer um homem de meio ambiente diz locatelli schaars t\u00e1 \u00e9 algo bem simples mas ainda est\u00e1 no top 1 de problemas de aplica\u00e7\u00f5es web isso \u00e9 um absurdo depois vai falar um pouco sobre isso o segundo \u00e9 problema de autentica\u00e7\u00e3o ent\u00e3o a gente sempre tenta fazer a autentica\u00e7\u00e3o do jeito mais r\u00e1pido poss\u00edvel porque n\u00e3o ocorre um neg\u00f3cio n\u00e9 eu vou fazer um projeto \u00e9 preciso entregar a funcionar de neg\u00f3cio e n\u00e3o o sistema de login a gente acaba n\u00e3o dando a devida aten\u00e7\u00e3o ao sistema de login ea gente simplesmente esquece de guardar principal porta de entrada no nosso sistema ent\u00e3o por isso que a autentica\u00e7\u00e3o quebrada \u00e9 o segundo t\u00f3pico da usp at\u00e9 hoje a exposi\u00e7\u00e3o de dados sens\u00edveis isso \u00e9 muito muito comum a gente ver \u00e9 pintar tech3 de sexo na tela algo bem bobo colocar a vers\u00e3o do php ou do servidor web no cabe\u00e7alho e se alguns indica vezes a gente esquece de fazer e acaba dando uma uma informa\u00e7\u00e3o que n\u00e3o deveria ou estou usando s\u00eamen um cms um framework eu vejo l\u00e1 tudo depressa a vers\u00e3o x n\u00e3o entra no site e veja quais s\u00e3o as vulnerabilidades da vers\u00e3o xc consigo atacar ent\u00e3o expor esse tipo de informa\u00e7\u00e3o \u00e9 algo muito cr\u00edtico e ainda est\u00e1 no top 3 \u00e9 algo que \u00e9 muito comum ainda bem para o nosso primeiro dia a dia espero q pra voc\u00eas tamb\u00e9m j\u00e1 tenha passado mas a utiliza\u00e7\u00e3o de xml xml tem algumas coisas bizarras que voc\u00ea pode fazer \u00e9 execu\u00e7\u00e3o de comandos do xml e se voc\u00ea n\u00e3o desabilitar os raptores correta voc\u00ea pode deixar uma falha incr\u00edvel no seu xml uma passagem r\u00e1pida aqui quero falar sobre as outras coisas tamb\u00e9m \u00e9 problemas na cl ent\u00e3o o controle de acesso talvez voc\u00ea faz aquele sistema tem um relacionamento mas voc\u00ea esquece de validar alguma coisa \u00e0s vezes s\u00f3 v\u00e1lida no front stage vai dar no backhand o usu\u00e1rio uma tela e consegue acessar o recurso na outra n\u00e3o ent\u00e3o essas falhas de de autoriza\u00e7\u00e3o s\u00e3o muito comuns at\u00e9 hoje ainda t\u00e1 bom passando para a segunda parte do programa de configura\u00e7\u00e3o ent\u00e3o envolve um pouco dessa exposi\u00e7\u00e3o de dados sens\u00edveis ent\u00e3o eu esque\u00e7o de configurar minha se\u00e7\u00e3o php corretamente que eu vou passar um pouquinho pra voc\u00eas como eu posso fazer esque\u00e7a de tornar as vari\u00e1veis que vem por padr\u00e3o o pega um framework uma biblioteca que j\u00e1 vem uma chave de criptografia chumbada e esque\u00e7a de trocar e isso vai produ\u00e7\u00e3o como tava sempre assim isso \u00e9 comum xss quem nunca teve problema o pss n\u00e9 ent\u00e3o cross site scripting seja o flash seja stored tem v\u00e1rios tipos de sushis ss est\u00e1 passando bem rapidinho depois d\u00e1 uma olhada com mais calma a descer organiza\u00e7\u00e3o e segura o php 7 resolveu isso o jeito muito legal mas se voc\u00ea pegar um objeto e tentar descentralizar ele ele vai chamar os m\u00e9todos margens do php por exemplo o icap e voc\u00ea pode fazer com que ele chame alguma instru\u00e7\u00e3o que n\u00e3o deveria \u00e9 esse voc\u00ea possa objeto de ser realizado ele vai trazer isso vai abrir a classe vai \u00e0 est\u00e2ncia objetos em voc\u00ea nem ter o controle do php 7 n\u00e3o lembro exatamente qual \u00e9 a minha convers\u00e3o mas voc\u00ea pode falar que tipo de classe voc\u00ea quer descentralizar ent\u00e3o cheguei um pouco de seguran\u00e7a t\u00e1 voc\u00ea pegar componentes com vulnerabilidades que j\u00e1 j\u00e1 est\u00e3o sabendo do mercado tem uma biblioteca se algu\u00e9m souber o nome sempre interesse do cr\u00e2nio e eu sempre falo dela que \u00e9 uma biblioteca que simplesmente ele lista as vers\u00f5es de bibliotecas com erros t\u00e1 ent\u00e3o ele \u00e9 um compositor ponto de som que tem l\u00e1 todas as vulnerabilidades podem falar o cdb na vers\u00e3o 1.5 gostando est\u00e1 tem um problema ent\u00e3o ele coloca l\u00e1 que essa biblioteca ela n\u00e3o \u00e9 compat\u00edvel com o sangue do beb\u00ea na vers\u00e3o 1.5 ent\u00e3o se voc\u00ea d\u00e1 um recorde na sua biblioteca do crimes n\u00e3o tentaria um slide com ela e voc\u00ea tem que estar ausente de 9.5 pr\u00f3prio compositor reclamar olha t\u00e1 tentando estava ausente do beb\u00ea mas a a biblioteca n\u00e3o deixa algo bem simples voc\u00ea configurar t\u00e1 que a gente vai baixando \u00e9 um compos\u00ea recorde aqui o compositor l\u00e1 eu nem sei o que est\u00e1 acontecendo por tr\u00e1s ent\u00e3o come\u00e7a a baixar com um monte de coisa na pasta vendo sem nem saber se por tr\u00e1s realmente tem alguma coisa aqui t\u00e1 que t\u00e1 com vulnerabilidade ea \u00faltima por\u00e9m n\u00e3o menos importante t\u00e1 que adianta ter um sistema muito robusto muito completo s\u00f3 que n\u00e3o tem ningu\u00e9m monitorando ele eu n\u00e3o logo tentativas de acesso erradas e n\u00e3o logo alguma tentativa de invas\u00e3o ent\u00e3o tem um sistema l\u00e1 eu nunca mais mexer nele mas tem v\u00e1rios agentes v\u00e1rias pessoas pelo mundo afora tentando atacar sistema na internet e n\u00e3o fica nem sabendo ent\u00e3o voc\u00ea tem que ter um sistema de login sem ter um monitoramento bom que te de id\u00e9ias que fale quando alguma coisa est\u00e1 acontecendo errada voc\u00ea tem que ter uma uma id\u00e9ia de usar berreiro para entender se tem alguma coisa que n\u00e3o est\u00e1 sendo o padr\u00e3o do sistema t\u00e1 ok eu passei o hospital tem oito minutos porque isso aqui deveria ter a nossa cabe\u00e7a n\u00e3o t\u00e1 eu falo tamb\u00e9m n\u00e3o est\u00e1 na minha mas \u00e9 algo muito trivial est\u00e1 aberto aqui pra gente isso s\u00f3 mostra como a gente acaba sendo um pouco de displic\u00eancia sistema pouco de displic\u00eancia onde vai desenvolver t\u00e1 agora vou passar porque realmente eu queria mostrar pra voc\u00eas t\u00e1 bom vamos come\u00e7ar realmente mostrar pra voc\u00eas como voc\u00eas podem fazer para deixar o time de voc\u00eas mais seguros a primeira coisa gerenciamento sess\u00e3o foi muito simples gerenciar s\u00e3o pedro 17 o start l\u00e1 n\u00e3o se acham destr\u00f3i no final e tudo bem s\u00f3 isso n\u00e9 algu\u00e9m aqui usa o s\u00e9rgio regenerativa \u00e9 de voc\u00ea tem id\u00e9ia do que \u00e9 o s\u00e9rgio alves no jardim sem essa linha de comando voc\u00eas n\u00e3o h\u00e1 suspensos h\u00e1 v\u00e1rios tipos de ataque por exemplo obsess\u00e3o ea maioria simples s\u00e9rgio generated voc\u00ea passa o par\u00e2metro que esse cara faz toda vez que eu inicie uma sess\u00e3o eu ganho um set onde que o identificador de sess\u00e3o quando o general richard ele vai trocar essa sess\u00e3o um ataque de fixa\u00e7\u00e3o de exce\u00e7\u00e3o por exemplo quando eu fa\u00e7o outra pessoa se logar com a minha se\u00e7\u00e3o imagina que tem um tem usu\u00e1rio l\u00e1 seu login no sistema o ganho \u00e9 de a ele no gol no sistema dele ele vai ter um beb\u00ea se eu de algum jeito conseguir fazer pra ele lugar utilizando \u00e1gueda tudo que ele faz e fizer as coisas na minha conta ent\u00e3o ele pode cadastrar o cart\u00e3o de cr\u00e9dito vai estar na minha sess\u00e3o ele pode fazer uma transa\u00e7\u00e3o vai ter pre\u00e7o da cess\u00e3o \u00e9 algo bem simples de resolver \u00e9 uma linha de c\u00f3digo 71 regineide quando voc\u00ea usa uma livre por exemplo 27 da vida ou symphony fashion voc\u00ea n\u00e3o tem esse problema porque a pr\u00f3pria biblioteca vai resolver pra voc\u00ea mas se voc\u00ea faz um pegava na m\u00e3o \u00e9 importante voc\u00ea lembrar disso \u00e9 bom tamb\u00e9m vou passar bem rapidinho saque outra coisa algu\u00e9m j\u00e1 configurou phpn para mudar as vari\u00e1veis padr\u00f5es de exce\u00e7\u00e3o \u00e9 muito raro \u00e0s vezes nem t\u00eam acesso a php independente do seu sistema mas \u00e9 muito importante isso \u00e9 algo que o php 7 tem feito muito bem o pt tem entre a abrir um par\u00eantese aqui mas \u00e9 reflexivo o php sempre foi mal visto por alguns problemas de que \u00e9 muito f\u00e1cil a gente programa em php ea gente acaba esquecendo algumas configura\u00e7\u00f5es que n\u00e3o \u00e9 culpa da linguagem com o desenvolvedor desde o php 7 muita coisa foi resolvida de seguran\u00e7a par\u00e2metros inseguros foram replicadas valores de par\u00e2metros que utilizavam criptografia souls algoritmos de haxixe com esfor\u00e7o removidos que o pp vem evoluindo muito mas faz parte de n\u00f3s como removedores poder fazer isso de um jeito correto ent\u00e3o vou passar as principais configura\u00e7\u00f5es que a gente tem que fazer por nosso sistema mas a primeira coisa \u00e9 https n\u00e3o d\u00e1 pra em 2019 a gente ter um sistema sem https a m\u00e1 certificado \u00e9 caro tem a renova\u00e7\u00e3o eu vou l\u00e1 no google deve ser algo que estou comprando certificado \u00e9 caro n\u00e3o existe c\u00e1 a gente tem um leque 15 25 21 sea que permite voc\u00ea emite certificados gratuitamente ent\u00e3o n\u00e3o tem mais pra pagar duzentos reais para emitir um certificado vou l\u00e1 utilizo a cme por exemplo \u00e9 uma biblioteca que eu gosto muito recomenda para voc\u00ea utilizar em emitir um certificado gratuito ent\u00e3o a primeira coisa \u00e9 https n\u00e3o adianta nada voc\u00ea tornar todo o seu sistema com criptografia com seguran\u00e7a sendo que est\u00e1 tudo sendo transitado em texto plano o \u00e1udio da sess\u00e3o tanto plano tudo que est\u00e1 sendo postado tem texto plano n\u00e3o adianta a primeira coisa \u00e9 https t\u00e1 tem dois tem tr\u00eas links aqui os amarelinhos o link est\u00e1 quentinho vendo um slide o link oficial do light sweet uma lista de v\u00e1rios clientes que s\u00e3o autorizados a utilizar o script e o aqmi que essa biblioteca que eu falei que eu recomendo que eu gosto muito t\u00e1 bom \u00e9 aquele ponto essa garra o site mas quem estiver com slide \u00e9 s\u00f3 clicar certo e essas configura\u00e7\u00f5es do php s\u00e3o muito simples de fazer mas a gente acaba esquecendo ent\u00e3o \u00e9 preciso colocar a confian\u00e7a de cuca e da minha sele\u00e7\u00e3o n\u00e3o posso esquecer disso \u00e9 a maioria dessas configura\u00e7\u00f5es tamb\u00e9m podem ser feitas em grande time ent\u00e3o eu posso contar um iniciativa e configurar se eu tiver de novo utilizando uma biblioteca como 2715 nicevision eu consigo passar uma rede configura\u00e7\u00f5es para ela t\u00e1 ent\u00e3o se configurar o dom\u00ednio eu preciso falar que n\u00e3o \u00e9 poss\u00edvel acessar a se\u00e7\u00e3o atrav\u00e9s de javascript colocando colocando http um litro t\u00e1 bem simples aqui \u00e9 muito desse slide \u00e9 copie e cole em sua troca o nome do site de voc\u00eas eu quero o que \u00e9 uma pol\u00edtica de que n\u00e3o vai compartilhar cookies entre outros dom\u00ednios eu n\u00e3o quero ser semi site scripting eu quero que se que 1 ou seja n\u00e3o vou eu n\u00e3o vou transportar cookies e conex\u00f5es n\u00e3o seja https o meu nome da sess\u00e3o por padr\u00e3o php cech de n\u00e9 seria interessante trocar esse cara por alguma outra coisa que n\u00e3o seja o de v\u00f4o \u00e9 sempre bom trocar os produtos de fora \u00e9 airton j\u00e1 os dois pr\u00f3ximos que s\u00e3o cid que \u00e9 a for\u00e7a da entropia do algoritmo que vai gerar o senhor d ent\u00e3o vou gerar um show de maior com uma entropia mais forte para poder gerar um racha de som um pouco mais mais alto e ser mais dif\u00edcil algu\u00e9m fazer um ataque de for\u00e7a bruta tipo de coisa t\u00e1 s\u00f3 quer usar sua cookies \u00e9 o modo estrito eu n\u00e3o quero passar um sr pela url lan\u00e7ou v\u00e1rias opera\u00e7\u00f5es simples isso aqui t\u00e1 numa nota o pp tem no manual do php uma p\u00e1gina que tem aqui o link uma nota falando sobre como voc\u00ea deixar sua se\u00e7\u00e3o mais segura mas eu duvido que 20% aqui jamais entrando nessa nessa p\u00e1gina t\u00e1 ent\u00e3o t\u00e1 a\u00ed o link e as configura\u00e7\u00f5es que voc\u00eas precisam fazer e tem uma outra empresa voc\u00eas v\u00e3o ver que ela vai ser recorrentemente aqui eu vou falar dela bastante que \u00e9 pego eu sou muito f\u00e3 dessa empresa \u00e9 eles fazem muita coisa pra php eles mantenham bibliotecas que eu gosto muito e eles fazem muito artigo ensinando como voc\u00ea fazer modificar seguramente t\u00e1 nesse artigo deixando a\u00ed ele fala sobre como temos dito nas vari\u00e1veis do php para ficar do jeito mais seguro poss\u00edvel certo beleza de se\u00e7\u00e3o simples n\u00e9 s\u00f3 eu \u00e9 o manual do php \u00e9 s\u00f3 lembrar que tem que dar g\u00eanero \u00e9 de mais ou menos a gente est\u00e1 num projeto pra onde a gente acaba n\u00e3o fazendo tipo de coisa o valida\u00e7\u00e3o de entrada nessa \u00e1rea 2019 eu sei vai da entrada n\u00e3o \u00e9 poss\u00edvel eu tenho l\u00e1 um front end cara eu tenho uma equipe de resgate de viu que traduz tudo que ela faz tudo pra mim eu n\u00e3o preciso validar o beque isso a gente acaba de vez em quando passando e \u00e9 ruim mesmo \u00e0s vezes eu acabo fazendo o volante de um jeito bem quente de outra \u00e9 comum s\u00e3o duas equipes diferentes algumas vezes n\u00e9 no front end e vale alguma coisa daqui e valida quase igual ele mas uma coisa passa ent\u00e3o voc\u00ea tem que ter uma mesma regra de valida\u00e7\u00e3o e quem fala que vai deixar a valida\u00e7\u00e3o o grosso da valida\u00e7\u00e3o no front e no beque s\u00f3 vai ser o resqu\u00edcio t\u00e1 muito suspeito a\u00ed pra pra\u00e7a invadida estava ent\u00e3o tenham ensino e se essa ideia na cabe\u00e7a que \u00e9 preciso ter uma avalia\u00e7\u00e3o igual no front no beque n\u00e3o adianta nada certo quem nunca foi inspecionar elemento de algum site editou uma coisa que a gente passou simples coisa simples est\u00e1 de novo biblioteca muito comuns em pra gente usar o php html faixa com link tamb\u00e9m eu gosto muito dessa biblioteca diante se ela limpa uma entrada para prevenir que isso a entrada de usu\u00e1rio tenha um cross site scripting \u00e9 s\u00f3 instalar a biblioteca e passar por ela \u00e9 muito tranquila muito trivial fazer esse tipo de coisa o dif\u00edcil a gente lembrar que tem que fazer t\u00e1 essa id\u00e9ia que eu t\u00f4 aqui pra voc\u00eas outra coisa importante se n\u00e3o tiver utilizando um template ent\u00e3o ou a gente falou sobre tudo \u00e9 sobre esse sim foi aquilar viu n\u00e9 n\u00e3o estiver utilizando alguma enchem de template pronta que vai fazer o escape para mim eu preciso capaz a ida e se joga o html pe\u00e7as-chaves vou precisar de um gato ambiente est\u00e1 bom \u00e9 bem trivial isso \u00e9 um neg\u00f3cio muito interessante que quem est\u00e1 acostumado com outras linguagens um pouco mais fortemente equipados \u00e9 por exemplo um java da vida acaba sentindo um pouco de um pouco de falta disso o php ent\u00e3o \u00e0s vezes eu tenho 11 um campo de entrada e meio e eu tenho que ficar no meu sistema inteiro validando e mail quem aqui j\u00e1 ouviu falar de objetos da listenx sabe que uma das regras objetos que eles t\u00eam entre m\u00e3os a comitivas temos uma classe ent\u00e3o vai ficar passando uma string e meio que eu tenho uma classe e mail que ele j\u00e1 v\u00e1lida o que eu quero dizer com isso \u00e9 crime e valida\u00e7\u00f5es as entradas de voc\u00eas fa\u00e7a um sistema robusto de data times por exemplo se eu tenho uma entrada que \u00e9 um nome eu sei que o nome do carro pode ter uma barra n\u00e3o existe nome com barra de nome com the score com firula com sustenido n\u00e3o existe tempo que vou deixar passar ent\u00e3o voc\u00ea tem que fazer com os seus dados realmente tenham 111 dom\u00ednio \u00e9 que voc\u00ea realmente entendo domingo aquele dado isso tem que vir da especifica\u00e7\u00e3o a ato que caracterize s\u00e3o permitidos aqui qual \u00e9 o tamanho desse campo e se voc\u00ea tiver no seu framework uma camada que vai vai barrar isso voc\u00ea est\u00e1 mais tranquilo ent\u00e3o esse \u00e9 um case real que no primeiro que a gente tem feito aqui no trabalho todo campo tem que ter um da tap se chegar uma requisi\u00e7\u00e3o e o desenvolvedor n\u00e3o tiver passado um da tap espec\u00edfico o pr\u00f3prio filme 8h e nunca vai chegar provedor ent\u00e3o especificam da tap decente se n\u00e3o voc\u00ea n\u00e3o vai ter isso fez pra gente do come\u00e7o acaba tendo uma resist\u00eancia face porto planejava agora que est\u00e1 acontecendo mas no final acaba tendo um ganho de de seguran\u00e7a incr\u00edvel \u00e9 bom e se pode fazer duas coisas t\u00e1 ent\u00e3o se meu nome n\u00e3o pode ter v\u00edrgula e algu\u00e9m mandou uma v\u00edrgula eu posso ter duas sa\u00eddas ou arrancar v\u00edrgula e continua processando ou simplesmente falo carro esse n\u00e3o \u00e9 um campo que \u00e9 aceito por favor preencha novamente o campo de voc\u00eas o sistema \u00e9 cr\u00edtico de seguran\u00e7a cr\u00edtica mas deixa passar simplificar s\u00f3 falou direito o que eu queria vou passar agora se for um sistema que n\u00e3o \u00e9 t\u00e3o cr\u00edticos como a funcionalidade que voc\u00ea n\u00e3o tem tudo emma sanitizar remova o que voc\u00ea n\u00e3o quer que continue processamento show de bola bom mas voc\u00ea tem que ter isso em mente certo de novo mas duas refer\u00eancias \u00e9 falando sobre xss e uma sheet \u00e9 sempre dif\u00edcil mas tite do asp falando sobre como voc\u00ea se prevenir contra xss n\u00e3o \u00e9 t\u00e3o trivial quem j\u00e1 viu aqui vale das bibliotecas de valida\u00e7\u00f5es iss s\u00e3o muito complexas mas rejects malucas tem que fazer isso em loop enquanto n\u00e3o h\u00e1 estrelas num sofrer altera\u00e7\u00f5es e vai passando para as passadas n\u00e3o \u00e9 t\u00e3o trivial ent\u00e3o n\u00e3o \u00e9 simplesmente um strip tags a principalmente se voc\u00ea tiver um campo por exemplo de html \u00e9 f\u00e1cil demonstre tags se voc\u00ea n\u00e3o tem nenhuma entrada html mas se o sistema se tiver uma parte l\u00e1 que o cara tem que subir um template de e mail por exemplo que voc\u00ea vai mandar e mail o que tem que criar uma mensagem l\u00e1 quando o usu\u00e1rio cadastrado em uma mensagem bem vindo na tela voc\u00ea tem que aceitar html e a\u00ed voc\u00ea tem que lembrar de todos os as que \u00e9 poss\u00edvel fazer no html javascript ent\u00e3o 11 bibliotecas prontas n\u00e3o reinventa a roda certo agora uma coisa mais legal a\u00ed ent\u00e3o passar um pouco da parte mais mas antes vamos pra algo que a gente acaba tamb\u00e9m deixando de qualquer jeito mas a gente esquece que \u00e9 muito importante como armazenar a senha e quais pol\u00edticas de estr\u00e9ia que eu quero ter a primeira coisa que a gente vai poder criar um paciente fala qual \u00e9 o m\u00ednimo que \u00e9 o m\u00e1ximo de caracteres que eu vou querer salvar o m\u00e1ximo de m\u00e1xima deixa o cara eu j\u00e1 vou falar o porqu\u00ea que n\u00e3o precisa que em quest\u00f5es t\u00e9cnicas eu n\u00e3o me importo com quantidade de caracteres est\u00e1 deixa o cara eu conhe\u00e7o pessoas que as senhas deles s\u00e3o partes de m\u00fasica eu conhe\u00e7o o decoro letras de m\u00fasica muito f\u00e1cil decorar a letra de m\u00fasica eu vou colocar aqui as duas primeiras para linhas de uma m\u00fasica com isso eu vou limitar sendo cara deixa \u00e9 de ser o usu\u00e1rio n\u00e3o pode ter muita dificuldade para ele t\u00e1 bom ent\u00e3o tamb\u00e9m no limite de caracteres a aquisi\u00e7\u00e3o pode ter senha com letra n\u00famero de escolas que acabou de diminuir o seu conjunto de caracteres permitidos e acabou de facilitar um ataque de for\u00e7a bruta por exemplo est\u00e1 dando dicas pro cara a coisa que eu mais odeio quando centro e tem l\u00e1 15 regras e fazer uma cena n\u00e3o pode ter car\u00e1ter repetido letra seq\u00fcencial n\u00famero seq\u00fcencial n\u00e3o pode ter n\u00famero m\u00faltiplo de 3 os donos t\u00eam que ser todos primos cara est\u00e1 dificultando o usu\u00e1rio \u00e9 horr\u00edvel voc\u00ea gasta mais tempo gerando uma cena que estava fazendo voc\u00ea escreve se coloca gente escreve com um post no no monitor nunca vou conseguir essa sim tem at\u00e9 alguns artigos sobre 18 parentes falando sobre como a gente t\u00e1 caminhando para um mundo sem senhas por causa disso a dificuldade de gerar senhas tanto que eu tenho certeza que pelo menos uma pessoa que j\u00e1 fez uma compra na internet sem criar um cadastro no site ent\u00e3o n\u00e3o \u00e9 como voc\u00ea vai l\u00e1 coloca coloca seu cart\u00e3o e depois ele falou se voc\u00ea quiser acompanhar o status do seu pedido se voc\u00ea quiser ter um hist\u00f3rico a\u00ed se cria os olhos em quest\u00e3o seria vencer \u00e9 bem interessante t\u00e1 bom \u00e9 duas coisas aqui eu estou seguindo que o nist isto \u00e9 pequenininho l\u00e1 o nist \u00e9 o instituto nacional de padr\u00f5es e tecnologia dos estados unidos ele sempre me t\u00eam \u00e9 algumas alguns frameworks alguns protocolos de boas pr\u00e1ticas e eles falam um pouco aqui sobre de senhas tamb\u00e9m tem o link pra voc\u00eas de novo depende muito da conti do seu p\u00fablico-alvo cart\u00e3o de cr\u00e9dito t\u00eam cart\u00e3o de cr\u00e9dito e assim a quatro d\u00edgitos esse \u00e9 um exemplo que eu sempre dou a mais um nicho fala que tem dez d\u00edgitos para vacinar minha v\u00f3 decorar as letras l\u00e1 dez n\u00fameros para sendo o cart\u00e3o de cr\u00e9dito ela n\u00e3o d\u00e1 eu tenho que olhar do p\u00fablico alvo eu tenho que fazer uma an\u00e1lise de quem est\u00e1 usando o sistema integrado e entregar pra ele e n\u00e3o para mim ent\u00e3o n\u00e3o vai usar um cart\u00e3o de das letras a dez n\u00fameros no neg\u00f3cio a outra tem quatro pr\u00e9 melhor ent\u00e3o eu abro um pouco da seguran\u00e7a esse \u00e9 um debate muito complexo na seguran\u00e7a versus habilidade pra ir pra que o cliente realmente usam o sistema n\u00e3o adianta nada o tema t\u00e3o seguro que nenhum lado t\u00e1 o padr\u00e3o do nist s\u00e3o 10 caracteres mas este novo voc\u00ea que vai definir mas \u00e9 interessante tem uma complexidade t\u00e1 bom n\u00e3o precisa ser uma complexidade muito complexo e eu falei n\u00fameros primos m\u00faltiplos de 7 na escala mas tem uma complexidade mesmo mai\u00fascula no mesmo minuto pelo menos o n\u00famero do mesmo crit\u00e9rio especial voc\u00ea acabou de abrir um leque t\u00e3o grande pro ataque de for\u00e7a bruta que j\u00e1 est\u00e1 muito mais tranq\u00fcilo do que se voc\u00ea tivesse de qualquer jeito certo agora vem a parte mais interessante armazenamento como que eu vou guardar essa senha eu vou colocar on the world to grafia procurar um protagonismo de haxixe o ideal \u00e9 que seja os dois t\u00e1 pra quem n\u00e3o sabe um algoritmo de hash ele \u00e9 revers\u00edvel tem uma fun\u00e7\u00e3o ano e ent\u00e3o a gente vai pensar em md5 por favor n\u00e3o usem de 5 a gente sempre a pensar vender 55 n\u00e3o volta eu posso ter dicion\u00e1rios \u00e9 ter um ataque de dicion\u00e1rio que eu sei que essa trinca gera esse recheio de 5 mas ele n\u00e3o tem uma fun\u00e7\u00e3o de volta um ch\u00e1 agora tamb\u00e9m os dois em decep\u00e7\u00e3o n\u00e3o use na chave 5 6 512 s\u00e3o algoritmos de haxixe bons ent\u00e3o usa um algoritmo de resto para salvar sua senha e usa uma criptografia em cima do coritiba de hash neg\u00f3cio muito maluco eu vou explicar para voc\u00eas daqui a pouquinho porque isso funciona mas nunca coloque soma 11 uma senha criptografada porque criptografia tem volta por que que eu preciso saber eu como o sistema precisa saber qual \u00e9 o texto plano da senha do usu\u00e1rio desta vez que eu preciso \u00e9 quando ele me passar a senha eo cript\u00f3grafo ela e comparo se \u00e9 a mesma que est\u00e1 criptografado no banco mas n\u00e3o precisa saber qual querem texto plano ent\u00e3o se voc\u00ea est\u00e1 usando um sistema e colocou esqueceu a senha e ele te manda um e-mail com essa em texto plano hoje est\u00e1 guardando o texto do plano que \u00e9 um absurdo o ataque s\u00f3 que o fot\u00f3grafo essa senha isso \u00e9 perigos\u00edssimo ent\u00e3o n\u00e3o apenas criptografe primeiro passo em um ritmo de haxixe e depois criptografia j\u00e1 vou explicar isso outra coisa importante \u00e9 salt que a sa\u00fade \u00e9 quando voc\u00ea coloca uma string voc\u00ea com que apenas treinar na senha para que o mesmo uma mesma senha gere restos diferentes ent\u00e3o imagina que a minha senha \u00e9 pe\u00e7a onde eu vou passar algoritmo de haxixe ele vai receber um hash se outro usu\u00e1rio tiver assim a pe\u00e7a onde vai passar o mesmo algoritmo de haxixe e vai at\u00e9 a su\u00edte igualzinho eu sempre tamb\u00e9m do mesmo exemplo do filme do que eu sempre esque\u00e7am do filme que a do alan turing qual \u00e9 o nome do filme de orienta\u00e7\u00e3o tem uma parte do filme que eles conseguem identificar que a mesma carta criptografada tem o mesmo texto que aparece v\u00e1rias vezes ent\u00e3o ele sabia que aquele momento l\u00e1 era o nome de uma ilha era um neg\u00f3cio assim porque estou usando a mesma fotografia ent\u00e3o toda vez que eu gravar esse texto vai ser o mesmo rech ent\u00e3o o que acontece se eu descobri uma senha de algum usu\u00e1rio e eu tiver um outro rech igual eu sei que a senha dele \u00e9 a mesma coisa se eu colocar um salt ent\u00e3o por exemplo a minha senha vai ser um pa\u00eds forte n\u00e3o coloquei o salt um vov\u00f4 n\u00e3o coloquem um tabu mas eu vou dar uma dica e outro cara quando colocassem a pe\u00e7a onde o site dele tem que ser diferente \u00e9 s\u00f3 dele vai ser 8 p\u00e9s forte e quando ele fazia um racha e vai dar um rosto diferente ent\u00e3o o site tem que ser espec\u00edfico para o usu\u00e1rio que pode ser \u00e9 dele no banco pode ser um gel e de voc\u00ea vai comparecer na data de cadastro dele no banco o e mail dele o username qualquer coisa ent\u00e3o salt tem que ser diferente para cada usu\u00e1rio assim nunca dois usu\u00e1rios mesmo com a mesma senha v\u00e3o ter regras iguais bom bem tranquilo e para garantir ainda mais a\u00ed voc\u00ea criptografia esse resto voc\u00ea passa um algoritmo de criptografia por exemplo um s a voc\u00ea pode passar um s de 56 para fazer o qu\u00ea imagine algu\u00e9m rouba seu banco de dados pizarro conseguiu um golpe seu do do banco de dados eu tenho a todas as suas senhas cara deixou l\u00e1 um algoritmo tentando quebrar pra sempre e eu vou conseguir algum momento vou conseguir pode demorar dois mil anos a algoritmo todos os valores s\u00e3o quebradas pode demorar cinco mil anos em 11 mas vou quebrar isso se eu fizer for\u00e7a bruta algu\u00e9m j\u00e1 ouviu falar de um ataque chamado rainbow table n\u00e3o falar de um cara que tem uma cinco pessoas a\u00ed que um ataque de morteiro eu queria muito explicar ele inteiro porque eu adoro mas n\u00e3o vou conseguir mas \u00e9 quando voc\u00ea pr\u00e9 computa \u00e9 x ent\u00e3o voc\u00ea tem uma tabela j\u00e1 de hash pr\u00e9 computados no artigo muito bom na equipe sobre isso e voc\u00ea ganha em velocidade e faz um trade-off de mem\u00f3ria feroz e voc\u00ea ganha muita velocidade para fazer um ataque de for\u00e7a bruta muito mais inteligente como dizer assim ent\u00e3o quando eu consegui fazer a op\u00e7\u00e3o de banco de dados j\u00e1 vou ter pr\u00e9 computados milhares de rochas que eu j\u00e1 sei mais ou menos que eles s\u00e3o ent\u00e3o eu tenho uma tabela gigantesca de hash e quando consegui pegar o seu doping e j\u00e1 vou conseguir muito mais r\u00e1pido chegar l\u00e1 sem fazer for\u00e7a bruta ficou meio abstrato sei disse algo muito complexo depois de um lado a equipe j\u00e1 queria muito falar melhor sobre isso mas porque o criptografando o hash eu vou conseguir melhorar isso porque em botelhos \u00e9 feita pra rech seu cript\u00f3grafo um hash eu ganhei duas coisas primeiro eu consigo que criptografa todas as senhas de banco de dados ent\u00e3o imagina que eu tenho uma criptografia l\u00e1 e estou usando uma chave sim\u00e9trica uma chave mestra \u00e9 uma fotografia sim\u00e9trica \u00e9 com deus a mesma chave para criptografar do comit\u00ea da fifa mas \u00e9 um produto vazou na chave algu\u00e9m esqueceu do c\u00f4mite nuno ritla isso acontece infelizmente ou algu\u00e9m invadiu e roubou na chave eu tenho essa chave eu posso reclamar do grafanil banco de dados inteiro e gerar uma nova cole\u00e7\u00e3o de senhas sem eu saber a senha do usu\u00e1rio porque eu tenho orgulho de geografia eu sei qual \u00e9 a chave eu disse que o fot\u00f3grafo e criptografia uma nova chave estou seguro ent\u00e3o cara quando ele roubou meu banco de dados l\u00e1 ele primeiro vai ter que ter um baita trabalho para descriptografar meu o motor da fia a\u00ed ele vai ter que aplicar a atr\u00e1s de um bom tempo para pegar um racha at\u00e9 ele fazer isso eu j\u00e1 repeti reprografia todo o meu banco e j\u00e1 estou seguro \u00e9 algo meio abstrato \u00e9 meio dif\u00edcil de colocar em na cabe\u00e7a mas tem algum tem um artigo que bem interessante e vou passar no final que vai ajudar voc\u00eas a fazerem isso e novamente eu vou falar da pergunta aqui eu parece at\u00e9 que sou fanboy deles mas aqui s\u00e3o muito muito bons e eu gosto muito do epis\u00f3dio ali s\u00f3 de uma biblioteca de criptografia moderna desde o php 72 ela j\u00e1 sabe o team na linguagem php foi a primeira linguagem de programa\u00e7\u00e3o do mundo a ter uma biblioteca de tributo grafia moderna embutida no corpo ent\u00e3o se algu\u00e9m d\u00e1 risada pra voc\u00ea voc\u00ea falando que voc\u00ea usa php se fala em sua linguagem tem uma biblioteca de criptografia moderna embutida a hp tem 17 2 eu adoro adoro ela s\u00f3 tem um problema olha o tamanho da fun\u00e7\u00e3o \u00e9 a outra m\u00e3o disso ent\u00e3o quem usa e 180 caracteres no editors o nome da fun\u00e7\u00e3o a\u00ed j\u00e1 viu n\u00e9 \u00e9 o nome da fun\u00e7\u00e3o abre par\u00eanteses o argumento na linha de baixo \u00e9 o \u00fanico problema dela \u00e9 bem vergonhoso n\u00e3o \u00e9 s\u00f3 de um crypton sign que perde um ciclo de que em torno de quem t\u00e1 \u00e9 j\u00e1 est\u00e1 documentado \u00e9 bom isso nem de comentar a fun\u00e7\u00e3o o nome dela j\u00e1 o documento que est\u00e1 fazendo s\u00e3o g\u00eanios a documentar com uma difus\u00e3o de faz-tudo fun\u00e7\u00e3o que busca os usu\u00e1rios da base e salva no grupo maravilhoso documentar ent\u00e3o utiliza o epis\u00f3dio ela tem muitos jogadores muito bons que j\u00e1 fazem esse processo de criptografia mais r\u00e1pido mas rech eles t\u00eam os melhores algoritmos eles usam o ch\u00e1 20 eles usam salsa usem esse cara ele \u00e9 muito muito bom e eu tenho uma palestra o epis\u00f3dio quem quiser uma olhada no aterro tamb\u00e9m t\u00e1 adoro ela e aqui s\u00e3o as refer\u00eancias ent\u00e3o tem de novo v\u00e1rias coisas da usp e tat\u00e1 tem algumas coisas que falam sobre esse neg\u00f3cio que eu disse de criptograf\u00e1 o hash essa biblioteca perde lote \u00e9 do pessoal da perna e ele usa isso ele faz o resto e fazer a fotografia em cima de uma olhada no c\u00f3digo v\u00e3o entender um pouco mais e tem de novo \u00e1lbum xx \u00e9 muito dif\u00edcil xix para ajudar voc\u00eas a realmente utilizar isso o melhor jeito poss\u00edvel certo e tem um artigo que eu adoro derrubou tabus tem que ter uma problemas 15 vezes para entender que eu botei gostar mas depois que voc\u00ea entender realmente vai ser incr\u00edvel tudo bem falei falei falei falei mostrei o c\u00f3digo est\u00e1 muito bem abstrato ent\u00e3o eu tenho um mini desafio a\u00ed eu s\u00f3 n\u00e3o sei que eu vou dar em troca e um celular um caf\u00e9 ela pra voc\u00eas eu pago uma cerveja pronto gostei fechou eu vou mostrar um c\u00f3digo para voc\u00eas aqui o c\u00f3digo \u00e9 funcional t\u00e1 ele n\u00e3o tem blog ele funciona ele faz o que tem que fazer mas ele tem um problema de seguran\u00e7a nossa n\u00e3o vale o pessoal aqui da da empresa porque eu j\u00e1 mostrei para eles aqui estamos aqui a gente n\u00e3o se v\u00ea n\u00e9 \u00e9 claro que n\u00e3o &#8211; eles aqui t\u00e1 ent\u00e3o eu quero que d\u00ea uma olhada o c\u00f3digo funciona eu quero que algu\u00e9m me aponte o que eu posso dar de informa\u00e7\u00e3o para um atacante se estiver rodando esse c\u00f3digo a fun\u00e7\u00e3o de login essa fun\u00e7\u00e3o recebe o usu\u00e1rio e uma senha eu tenho um m\u00e9todo foi de barzani esse m\u00e9todo deve no banco e procurar l\u00e1 o select uma tabela pelo cmn eu n\u00e3o achei o usu\u00e1rio do retorno falso n\u00e9 e a\u00ed eu falo l\u00e1 uma dica \u00e9 nunca falha o usu\u00e1rio \u00e9 o usu\u00e1rio existente ou inexistente na sem colocar os dois usu\u00e1rios inexistente a isso o usu\u00e1rio existe eu verifico a senha ent\u00e3o chama fun\u00e7\u00e3o e verifica se assim que ele passou e mesmo tendo o banco siga e rodou fauci se d\u00e1 certo em outro tem um cara que eu n\u00e3o estava desesperada j\u00e1 tempo de resposta perfeita n\u00e3o esquece de cobrar a cerveja pra mim fechou seu nome j \u00e9 isso a\u00ed tempo de resposta o que acontece se eu passar um usu\u00e1rio que n\u00e3o existe a primeira coisa que vai fazer minha fun\u00e7\u00e3o \u00e9 essa a\u00ed certo permitem fauci se assim usu\u00e1rio existe que eu vou fazer eu vou ter que ir l\u00e1 no banco pegar uma senha descriptografia mensagem lembra a cantora a fada e ver se o hash bate um com o outro criptografia \u00e9 custoso o tempo de resposta pra eu fazer essa parte do c\u00f3digo \u00e9 muito grande ent\u00e3o se eu retornar falsa assim que o usu\u00e1rio n\u00e3o existe o tempo de resposta vai ser muito mais r\u00e1pido vai bater de primeira com for\u00e7a se o usu\u00e1rio existe eu vou ter que ir l\u00e1 e fazer a fotografia verificar o resto e bateu isso vai consumir cpu vai consumir mora isso vai gastar mais tempo mas isso \u00e9 uma numera\u00e7\u00e3o de usu\u00e1rio est\u00e1 maluco num jogo eu vou voltar e depois eu mostro uma louca est\u00e1 sendo exagerado \u00e9 poss\u00edvel que esse neg\u00f3cio seja assim eu n\u00e3o sei se eu n\u00e3o conseguir ver espero que sim que colocar em tela cheia aqui eu gravei um v\u00eddeo de um script que executa aquele c\u00f3digo e eu fiz ele cem vezes pra voc\u00eas terem uma id\u00e9ia uma vez s\u00f3 consegui ver d\u00e1 pra enxergar plate eo v ent\u00e3o ela executa um script que ele passa um usu\u00e1rio inv\u00e1lido e uma senha inv\u00e1lida executa 100 vezes para cada uma das vezes ele d\u00e1 101 seu sucesso n\u00e3o t\u00e1 nem a\u00ed que eu sou r\u00e1pido &#8211; renan ent\u00e3o executar 100 vezes l\u00e1 com um usu\u00e1rio v\u00e1lido mas \u00e9 inv\u00e1lida ele demorou um ponto 9 segundos para fazer cem vezes est\u00e1 agora eu vou executar com o usu\u00e1rio v\u00e1lido e uma senha inv\u00e1lida t\u00e1 vamos ver com o tempo ele vai fazer estou 100 vezes 2.4 segundos opa agora vou executar o usu\u00e1rio v\u00e1lido e uma senha v\u00e1lida todo mundo \u00e9 porque logo 2.5 segundos tamb\u00e9m est\u00e1 muito pr\u00f3ximo \u00e9 2.48 para dois pontos 50 a gente pode assumir que deu o mesmo tempo ent\u00e3o se o usu\u00e1rio n\u00e3o existe ele retorne 1.9 seu usu\u00e1rio existe assim esta no vale do jord\u00e3o e demora 2.5 ou seja cabe saber que esses \u00f3rg\u00e3os na base a\u00ed eu posso fazer um ataque de engenharia social tentasse amigo desse cara pagar uma cerveja premium no bar para saber algumas coisas da vida dele eu posso fazer uma coisa eu j\u00e1 sei que s\u00f3 existe se eu n\u00e3o tiver um blog o monitoramento vou come\u00e7ar a ver que tem algu\u00e9m tentando bater umas aqui com o usu\u00e1rio que n\u00e3o deveria ent\u00e3o n\u00e3o \u00e9 paran\u00f3ia t\u00e1 realmente eu mostrei pra voc\u00eas acham que eu posso fazer para resolver isso eu vou votar o c\u00f3digo dependente roda um script t\u00e1 bom n\u00e3o \u00e9 e epis\u00f3dio p\u00e1 e t\u00e1 agora vou mostrar pra voc\u00eas como resolver o que eu fa\u00e7o ent\u00e3o usu\u00e1rios irris\u00f3rio existisse usu\u00e1rio existe eu vou buscar a senha dele ent\u00e3o eu j\u00e1 fiz um selecto j\u00e1 tem a senha dele mas olha que antes no come\u00e7o nossa eu n\u00e3o consigo deixar retoque que loucura olha meu deus \u00e9 fina eu vou gerar uma senha falsa sei l\u00e1 vou gerar uma senha falsa vou fazer uma fotografia isso sempre gera uma senha falso aqui qualquer coisa dom randon batizado php 7 faz qualquer coisa gera uma senha falsa mas se o usu\u00e1rio existe eu substitui essa vari\u00e1vel da senha pela que ele realmente existe e \u00e9 aqui que est\u00e1 o pulo do gato eu sempre vou chamar o meu velho pai perde ent\u00e3o eu sempre votei aquela passagem de c\u00f3digos tosa se o usu\u00e1rio existe eu vou comparar a senha dele como a senha real dele sen\u00e3o eu vou comparar como assim \u00e9 falsa ent\u00e3o eu sempre vou passar pelo que \u00e9 custoso e depois eu verifico se o usu\u00e1rio existe n\u00e3o entendo ent\u00e3o sempre f\u00e1cil ver vai perceber isso como o c\u00f3digo vai ser tempo constante assim existindo ou assim n\u00e3o existindo t\u00e1 o importante \u00e9 voc\u00ea gerar senha sempre porque se voc\u00ea s\u00f3 gerar senha quando o usu\u00e1rio n\u00e3o existe tamb\u00e9m tarde balanceado neto tamb\u00e9m est\u00e1 gastando tempo em coisas que n\u00e3o devia ent\u00e3o com isso aqui eu garanto que todos os meus passos do meu guri timo s\u00e3o executados seja usu\u00e1rio real ou n\u00e3o bom e aqui eu vou mostrar o script ele mesmo script os dois grupos tamb\u00e9m acreditar mas agora passando um script fixed qual \u00e9 o problema voc\u00ea acaba tendo uma execu\u00e7\u00e3o um pouco mais lenta sempre porque est\u00e1 sempre fazendo ele foi pe\u00e7a mais cara \u00e9 melhor se \u00e9 um pouco mais lento do que se fala que o usu\u00e1rio existe na sua base no roteiro escrito chamador fixed ent\u00e3o tudo 02 ponto a 9 segundos j\u00e1 a 100 execu\u00e7\u00f5es usu\u00e1rio v\u00e1lido tudo 02 ponto a 9 segundos o usu\u00e1rio v\u00e1lido e ser\u00e1 v\u00e1lida tudo 12.9 segundos ou seja n\u00e3o tem nenhuma informa\u00e7\u00e3o se o usu\u00e1rio existe uma base pronto acabei de me prevenir de numera\u00e7\u00e3o de usu\u00e1rios certo bem boba n\u00e9 quem faz isso \u00e9 \u00e9 \u00e9 n\u00e3o mas eu j\u00e1 falo l\u00e1 o usu\u00e1rio ou senha incorreta n\u00e9 hoje estou protegido n\u00e9 n\u00e3o t\u00e1 \u00e9 l\u00f3gico e assim no mundo real na pr\u00e1tica esses n\u00fameros que eu mostrei s\u00f3 fazem sentido porque o tecido local rost se estiver pensando pela internet pode ter varia\u00e7\u00e3o de tempo de internet o link pode ser l\u00e1 ent\u00e3o tem que ter uma carga muito grande de testes eu fiz em vez de fazer sei l\u00e1 quantas tir\u00e1vel desvio-padr\u00e3o pegar uma m\u00e9dia mas voc\u00ea teria ainda uma linha porque voc\u00ea poderia saber qual \u00e9 a m\u00e9dia de resposta bom ent\u00e3o n\u00e3o \u00e9 paran\u00f3ia certo beleza que j\u00e1 entrando na parte final eu deixei um tempo bastante que eu queria bater um papo depois a gente pode fazer umas perguntas cara aqui que eu fiz sobre todos os sites que conhe\u00e7o todos alguns sites eu conhe\u00e7o ferramentas eu conhe\u00e7o para ajudar voc\u00eas a serem melhor desenvolvedores t\u00e1 ent\u00e3o por exemplo algumas ferramentas muito boas de pentest de teste de penetra\u00e7\u00e3o de seguran\u00e7a de aplica\u00e7\u00e3o t\u00e3o metasploit talvez seja o mais famoso que tenha por a\u00ed est\u00e1 o w3 a efe gosto muito dos dois muito bons ent\u00e3o s\u00e3o escritos que eles v\u00e3o ele j\u00e1 tem uma alguma v\u00e1rias rotinas de ataques voc\u00ea vai rodar na sua aplica\u00e7\u00e3o vai fazer o scan de vulnerabilidades vai falar por exemplo que est\u00e1 demorando login mas n\u00e3o t\u00e1 demorando quando s\u00f3 existe vai verificar se tem alguma falha de dados sens\u00edveis e luiz po\u00e7o vai verificar se tem algum reconhece que n\u00e3o est\u00e1 passando ent\u00e3o essas ferramentas voc\u00ea roda l\u00e1 alguma demora muito t\u00e1 depende do n\u00edvel de criticidade est\u00e1 colocando no perfil de de de ataque mas voc\u00ea consegue ter algo um pouco mais \u00e9 mais palp\u00e1vel ou voc\u00ea contrata uma empresa especialista em testes que tem v\u00e1rias por a\u00ed o blog street ele \u00e9 bem legal tamb\u00e9m ele \u00e9 uma ferramenta em java mas era muito boa por\u00e9m eu gosto muito da brincadeira \u00e9 \u00e9 muito boa e voc\u00ea consegue fazer como se fosse um proxy que se faz a intercepta\u00e7\u00e3o de quests imagina que eu tenho no meu site l\u00e1 eu vou fazer um login com usu\u00e1rios em \u00e1vine sem \u00e1vine se configura no brasil um proxy para ele passar pelo bar su\u00edte quando chegou quando fa\u00e7o uma requisi\u00e7\u00e3o o buffet para requisi\u00e7\u00e3o e eu consigo em tempo real mudar os par\u00e2metros de entrada eu posso trocar a senha pode trocar o usu\u00e1rio pode passar um outro par\u00e2metro posso colocar qualquer coisa em tempo de execu\u00e7\u00e3o e a\u00ed eu vou l\u00e1 troca tem que fazer e don&#8217;t play a\u00ed que s\u00f3 continua ent\u00e3o voc\u00ea consegue fazer em tempo de execu\u00e7\u00e3o fica brincando com o sistema ela \u00e9 incr\u00edvel ela tem a vers\u00e3o paga mas a vers\u00e3o free delas se consegue fazer tudo isso \u00e9 muito bom recomenda \u00e9 bem f\u00e1cil usar outras ferramentas muito boas nessas open vaz o pr\u00f3prio kahn linux que n\u00e3o conhece o caminho de uma distro linux e tem uma porrada de ferramentas de \u00e9tica ou rakineh s\u00e3o ferramentas de hacking dito em teste pr\u00e1tico ajudar voc\u00eas realmente tem um sistema mais robusto \u00e9 bom todos aqui s\u00e3o link est\u00e1 s\u00f3 depois se explicam tudo em leituras falei bastante da pedra bom falou bastante do ato tem uma linda nesses dois caras t\u00eam muito material o astro tem muito xixi nossa id\u00e9ia de tite tem muito tite ent\u00e3o dicas de embora sem aguardar o usu\u00e1rio fazer e nem dormi muito legal deu uma de suas caras o asp tem um site deles e ashti agora tudo que tiver o deve ser a cops \u00e9 todo mundo fala que deve se a cops poucas deve optar deve ouvir falar na moda n\u00e9 eco bennett saque e doc fla e bota o meu ciclo no container t\u00e1 tudo bem s\u00f3 que nesse mundo t\u00e3o \u00e1gil de de desenvolvimento de the boy como eu garanto que no ciclo de desenvolvimento \u00e9 seguro ent\u00e3o eu come\u00e7a a ter pr\u00e1tica de deve sec pops tem o cic o ssd lc que ela sequer software development l\u00e1 e sair com que s\u00e3o um framework s\u00e3o boas pr\u00e1ticas de voc\u00ea fazer um ciclo desenvolvimento de software seguro e isso come\u00e7a l\u00e1 do lado do meu lado an\u00e1lise de uma conversa de bar por exemplo n\u00e3o basta n\u00e3o pode ficar falando sobre a sua empresa n\u00e3o sabe que est\u00e1 do lado do d\u00f3lar do do mesmo lado vou ficar falando de clientes no bairro nosso cliente t\u00e1 se o qu\u00ea sabe quem t\u00e1 ouvindo est\u00e1 no \u00fatero falando e n\u00e3o sabe \u00e0s vezes lugar \u00e9 primo de irm\u00e3os e quem n\u00e3o \u00e9 cultural ent\u00e3o o simples movimento seguro come\u00e7a culturalmente e vai at\u00e9 o depoente bom tem do e tem o b5 que \u00e9 um modelo de maturidade de seguran\u00e7a ent\u00e3o \u00e9 um framework mas n\u00e3o lembra de c\u00f3digo afirmou que de um projeto para um padr\u00e3o que ele te d\u00e1 o grau de maturidade que a sua empresa tem de seguran\u00e7a ent\u00e3o eu como se fosse um artigo da vida voltado para seguran\u00e7a e voc\u00ea consegue saber qual \u00e9 o n\u00edvel de maturidade que a empresa tem de seguran\u00e7a recomenda bastante esse cara certo em 3 \u00e9 e brandoa s\u00f3 tem que um dos problemas era usar componentes com vulnerabilidades conhecidas e como eu sei quais componentes t\u00eam vulnerabilidades conhecidas daqui tr\u00eas op\u00e7\u00f5es s\u00e3o site cbs que s\u00e3o vulnerabilidades e esportes que est\u00e3o um \u00e9 quest\u00e3o de que o dom\u00ednio p\u00fablico e voc\u00ea simplesmente pode acessar esses tr\u00eas sites qualquer um deles eu gosto dos tr\u00eas voc\u00ea pode por filtrar php e ver todas as vulnerabilidades que j\u00e1 foram expostas pela bhp na fun\u00e7\u00e3o tal na fun\u00e7\u00e3o tal na vers\u00e3o tal foi corrigido ent\u00e3o isso \u00e9 muito comum ter pesquisador de seguran\u00e7a que achou uma brecha notifica a empresa notificou comunidade oito meses corrigem depois que est\u00e1 tudo ok lan\u00e7ou uma severa ent\u00e3o os caras s\u00e3o bases de conhecimento de vulnerabilidades que voc\u00ea consegue saber e \u00e9 por isso que \u00e9 importante voc\u00ea n\u00e3o falar qualquer vers\u00e3o do word press que est\u00e1 usando na quest\u00e3o eu vou nesse site aqui colocou depressa vers\u00e3o est\u00e1 usando tem uma lista que voc\u00ea v\u00ea essa da vers\u00e3o bom gosto muito desses tr\u00eas caras certo agora eventos de seguran\u00e7a focados em seguran\u00e7a a gente sempre tem na comunidade php muitos eventos e sempre tem uma outra palestra seguran\u00e7a estou sempre tentando falar de seguran\u00e7a aqui mas tem um evento focado em seguran\u00e7a tem mais mais sexy ou sec e h2hc bem molhados evento participem seguran\u00e7a n\u00e3o \u00e9 s\u00f3 o c\u00f3digo \u00e9 comportamental \u00e9 cultura \u00e9 muito dif\u00edcil n\u00e3o \u00e9 t\u00e3o trivial t\u00e1 \u00e9 t\u00e3o aqui tem alguns eventos que a gente tamb\u00e9m pode dar uma olhada e participar afinal a gente \u00e9 feito de comunidade ea gente tem que estar participando da comunidade certo o garoto quer clube \u00e9 muito legal um compilado de v\u00e1rias \u00e9 \u00e9 um work um hackerspace n\u00e9 s\u00e3o paulo o gosto bastante dele tamb\u00e9m site pra finalizar a gente a gente entrar \u00e0s perguntas e e perguntar a mente porque pagar pelo seguro ent\u00e3o a pergunta assim cara n\u00e3o \u00e9 f\u00e1cil proteger a aplica\u00e7\u00e3o web de novo quanto mais eu aprendi seguran\u00e7a mas eu sei que \u00e9 dif\u00edcil voc\u00ea come\u00e7a a entrar num dependendo do seu grau de complexidade devem come\u00e7ar a entrar em problema f\u00edsico que o cara precisa me mandar tirar uma foto por exemplo aplicativos devem tirar self para falar que voc\u00ea \u00e9 voc\u00ea ou eu vou l\u00e1 como biometria que tenho tudo tem tempo tem uma brecha ent\u00e3o quando voc\u00ea est\u00e1 num n\u00edvel de maturidade muito alto muito cr\u00edticos e come\u00e7a a ir para o f\u00edsico tem uma complexidade muito grande \u00e9 muito complexo n\u00e3o \u00e9 trivial eu mostrei s\u00f3 umas e 23 ataques t\u00eam muitos n\u00e3o fazem monteiro fala de numera\u00e7\u00e3o de usu\u00e1rios da linha tex tem muito tipo de ataque por a\u00ed estar\u00e3o na fria est\u00e1 a grafia ataque muito legal que uma vez que o algoritmo rs at\u00e9 um dos melhores que existem de de fotografia que voc\u00ea passa uma chave para ele e voc\u00ea conseguiria saber o tamanho da chave s\u00f3 o tamanho de acordo com o clock de cpu porque o algoritmo tem v\u00e1rias passadas de acordo com o tempo que voc\u00ea via que a cpi estava no m\u00e1ximo voc\u00ea sabia que ele tava naquela parte do ritmo de acordo com o tempo voc\u00ea consegue saber por exemplo imagine que eu tenho o coritiba que ele vai pegar a chave vai fazer uma opera\u00e7\u00e3o da chave o hoje est\u00e1 no relat\u00f3rio est\u00e1 se eu passei dois segundos com cpu no talo eu sei que a chave 16 bits se voc\u00ea tr\u00eas segundos e que achava de 24 bits e 4 segundos e chega a 38 \u00e9 muito complexo \u00e9 l\u00f3gico que a gente est\u00e1 num ambiente muito maluco eu consegui saber o coque da cpu e gpu eu j\u00e1 t\u00f4 dentro de uma caixa eu estou dentro de um ambiente de cloud mas \u00e9 poss\u00edvel tamb\u00e9m do barulho \u00e9 o barulho do f\u00e3 do computador neg\u00f3cio bizarro t\u00e1 uma coisa que a gente come\u00e7a no come\u00e7o eu ficava numa paran\u00f3ia quando comecei agente de seguran\u00e7a foi meu deus n\u00e3o vai ter feito nenhuma mas o sistema eu vou ficar que seis anos brindando o sistema ningu\u00e9m conseguiu jogar a vale fa\u00e7a uma an\u00e1lise de amea\u00e7as de novo n\u00e9 e n\u00e3o vai trocar o carro blindado se l\u00e1 dentro tem uma bolacha n\u00e3o faz sentido voc\u00ea tem que avaliar \u00e9 s\u00e9rio foi o cara que foi melhor eu vou guardar essa parte aqui que n\u00e3o \u00e9 t\u00e3o importante que eu posso assumir um risco de se vazar quando alguma coisa eu vou proteger o realmente \u00e9 importante os dados meu cliente dados de cart\u00e3o de cr\u00e9dito vai pelo que realmente \u00e9 importante fa\u00e7a uma an\u00e1lise amea\u00e7a \u00e0s vezes n\u00e3o compensa \u00e0s vezes o trabalho que voc\u00ea vai ter que fazer pergunte blindar \u00e9 mais f\u00e1cil infelizmente disse fiuza \u00e9 real isso empresas fazem t\u00e1 isso a an\u00e1lise de amea\u00e7as em outra coisa que \u00e9 muito importante \u00e9 f\u00e1cil defesa em camadas voc\u00ea n\u00e3o vai ter uma t\u00e9cnica de defesa s\u00f3 ter v\u00e1rias ea cada tecla defesa que voc\u00ea vai voc\u00ea vai me xingando imagina assim que tem que ser atacantes n\u00e3o fa\u00e7a primeiro ataque \u00e9 at\u00e9 que eu j\u00e1 matei 50 segundo e matou mais dez a outra mais cinco a outra mais quatro ent\u00e3o v\u00e1rias camadas de defesa prata no final s\u00f3 sobreviveu um cara tipo 1 ela de chopp ijuhy da concentra canto eu fiz v\u00e1rias estrat\u00e9gias de defesa que vai lidar com cena no final do ano com uma \u00e9 mais f\u00e1cil proteger de uma do que sentar aqui tem um link ps explicando tamente como que essa t\u00e9cnica de defesa em camadas t\u00e1 bom certo s\u00f3 pra fechar um gancho que tem um link eu pretendo fazer um treinamento e desenvolvimento seguro presencial em breve quem acessar aqui o link pelo evento vai ter um bem bolado a\u00ed pra gente poder falar t\u00e1 s\u00f3 entrar l\u00e1 deixar seu e-mail e vou avisar voc\u00eas quando voc\u00ea estiver em quando a gente tiver de fechar uma turma t\u00e3o certinho certo de novo site s\u00e3omiguelweb qualquer d\u00favida que voc\u00ea estiver em torno do time meu twitter \u00e9 ver capitel mesmo que tiverem s\u00f3 mandar uma mensagem s\u00f3 perguntar t\u00e1 bom \u00e9 isso pessoal obrigado ou agora pega preta seguro mesmo em troca de uma pergunta em pergunta daqui j\u00e1 a quest\u00e3o do salt onde muito bem \u00e9 uma on\u00e7a que tinha uma data e se concatena com a senha \u00e9 isso imagina assim o vov\u00f4 tac salt que vamos usar qualquer tipo de racha e enxadas 56 cm a senha foi perde eu vou fazer um ch\u00e1 das cinco e meia e s\u00f3 eo esse estado assim como \u00e9 sempre o mesmo site usarem ou seja est\u00e1 certo e s\u00f3 resta se as pe\u00e7as qualquer usu\u00e1rio que tivessem a pe\u00e7a \u00e9 de que a mesma \u00e9 che ent\u00e3o se eu por algum motivo conseguiu extrair seu banco de dados e descobrir aqui e vejo que tem outros usu\u00e1rio o resto \u00e9 igual eu sei que a ascens\u00e3o iguais ainda n\u00e3o sei a senha mas centenas s\u00e3o iguais eu sei que eu descobri o meu eu consigo lugar nos dois o que acontece tem que colocar algo que seja vari\u00e1vel ent\u00e3o se algu\u00e9m colocar sem a pe\u00e7a se eu colocar qualquer coisa aqui a sua senha pe\u00e7a que vai ser diferente da minha mas n\u00e3o pode ser qualquer coisa quando voc\u00ea for lugar eu n\u00e3o vou saber qualquer coisa imposs\u00edvel de bater a m\u00e3o no teclado ent\u00e3o eu tenho que ter alguma informa\u00e7\u00e3o que eu consiga saber de voc\u00ea seu nome \u00e9 desculpa ent\u00e3o imagina quando voc\u00ea joga online voc\u00ea tem usu\u00e1rio 5 e sempre que algu\u00e9m eu vou dar um exemplo bem boba que est\u00e1 eu sempre vou colocar cinco andares seu her\u00f3i de andarem a senha ea minha senha password mas messi \u00e9 sete meu deus n\u00e3o funciona acredita uma elite s\u00f3 o pa\u00eds fez ent\u00e3o a minha senha perde a sua senha pessoal mas como eu coloquei uns out e check out os cinco andares cortam salt e \u00e9 espec\u00edfico pra mim e pra voc\u00ea ent\u00e3o quando eu vou roubar o seu banco de dados n\u00e3o vai bater entendeu ent\u00e3o sempre quando voc\u00ea logar voc\u00ea vai colocar perde eu no meu sistema vou concatenar um salt que eu sei que o senhor de underline s\u00f3 senha e quando ele lugar eu vou contar \u00e9 dele andr\u00e9s e desde ent\u00e3o nunca vai bater eu sempre vou ter algo diferente tem que ser algo espec\u00edfico do usu\u00e1rio para a mocidade eu mesmo o mesmo site \u00e9 s\u00f3 colocar todo mundo colocar pipoca no come\u00e7o a gente tem que saber espec\u00edfico para cada usu\u00e1rio \u00e9 preciso saber qualquer um possa bater a m\u00e3o no teclado responde primeiro eu queria saber o que bolacha que falou na minha terra biscoito 8 segundo \u00e9 voc\u00ea na recomenda\u00e7\u00e3o foi para usar o epis\u00f3dio na hora de criptograf\u00e1 fazem e no exemplo sei que eu sou um exemplo mais um exemplo voc\u00ea usou o pessoal e verifiquei que \u00e9 que o resto \u00e9 feito com pens\u00f5es de hash perceber se o ps for the edge \u00e9 seguro o suficiente se a diferen\u00e7a na seguran\u00e7a \u00e9 muito grande a ponto de n\u00e3o valer a pena seu nome \u00e9 nisso tamb\u00e9m cara \u00e9 o psd rech eo psd verify s\u00e3o duas fun\u00e7\u00f5es \u00f3timas do php se voc\u00ea n\u00e3o tiver com um epis\u00f3dio instalado ou se voc\u00ea n\u00e3o quiser passar a escrever aquele monte nome de de fun\u00e7\u00e3o l\u00e1 o psg \u00e9 muito bom a partir do php 7272 \u00e9 o psg voc\u00ea pode falar qualquer fun\u00e7\u00e3o de resto est\u00e1 usando a partir de 72 o php tem um ar com 2 que \u00e9 a fun\u00e7\u00e3o uma das melhores fun\u00e7\u00f5es ganhou o pr\u00eamio de 2011 n\u00e3o me engano ent\u00e3o ela \u00e9 recomendada inclusive o psol de usar 12 ent\u00e3o voc\u00ea pode usar pe\u00e7as de resto o pps o j\u00fari vai contar com dores sem problema nenhum t\u00e1 s\u00e3o recomendados assim maior apelo pessoal vai perguntar qual \u00e9 a marca de cerveja que voltar\u00e1 a haver a minha pergunta \u00e9 sobre esse terceiro item sobre a pergunta que acabou de fazer isso \u00e9 por exemplo um dos m\u00e9todos de criptografia que \u00e9 comumente utilizado \u00e9 o backflip 100 pela como esse terceiro item a\u00ed que t\u00e1 no slide com uma equipe d\u00e1 pra fazer d\u00e1 para juntar os dois ou n\u00e3o nos fez voc\u00ea consegue saber para a\u00ed sim n\u00e3o n\u00e3o tem problema eu tiver uma solu\u00e7\u00e3o ainda ok n\u00e3o \u00e9 top das tops mas tamb\u00e9m n\u00e3o \u00e9 algo muito n\u00e3o \u00e9 recomendado voc\u00ea poderia usar o eclipse mas o pode ser preto n\u00e3o tem problema pode sob cr\u00edtica mas eu sempre recomendo usar alguma outra coisa um pouco mais parruda um esta e 56 inclusive algoritmos de criptografia que tem autenticidade com o gcm por exemplo t\u00e1 ent\u00e3o voc\u00ea pode usar n\u00e3o tem problema pode usar o epi sim mas se conseguir utilizar um pouco mais robusto alguma coisa no epis\u00f3dio com as pr\u00f3prias solu\u00e7\u00f5es de criptografia do o psl equipe que j\u00e1 vem do php \u00e9 muito boa o maior problema dela saber que par\u00e2metros passar por isso \u00e9 recomendado de s\u00f3dio que era propaganda j\u00e1 tenho os par\u00e2metros bons vou pensar em que voc\u00ea consegue fazer algo bom t\u00e1 bom n\u00e9 56 motiva mas a \u00faltima pergunta n\u00e3o \u00e9 isso a\u00ed para entrar at\u00e9 amanh\u00e3 ent\u00e3o roupa a t\u00e1 beleza da hora o pessoal da sa\u00fade de palmas o minist\u00e9rio o valor real estando com chave de ouro o primeiro dia aqui do php como exame de 2009 pessoal teve quem estava no estande da nokia ganhou aqui ent\u00e3o vamos aqui os r\u00e1pidos presentes \u00e9 passar brina sabina ataque j\u00e1 foi embora sabrina ganhou a mochila o que tem mais coisa mas n\u00e3o \u00e9 s\u00f3 para voc\u00ea somente lan\u00e7amento de uma panela e \u00e1gua rocha \u00e9 uma caneca e \u00e1gua rocha rocha a e ganha pra neca e amanh\u00e3 tem mais s\u00f3 de \u00edtaca entre itamar est\u00e1 ganhando pr\u00eamio aqui casa ganhou aqui a nossa caneca show a\u00ed nota 1000 eo leonardo leandro de souza ganhou o a camisa que show deve e amanh\u00e3 tem mais sorteio galera ent\u00e3o agradecer todo mundo que veio hoje os palestrantes keynote \u00e9 o in\u00edcio ea marcela aos palestrantes todo adiel susan todo mundo nessa sujeira a gente vai pra vivos agora quem quiser vamos l\u00e1 fazer canal que leva a tesoura vai ter muita coisa ea m\u00e3e de volta da manh\u00e3 pela palestra o marcel \u00e9 o keynote de abertura amanh\u00e3 10 da manh\u00e3 ent\u00e3o tomara que eu n\u00e3o cheguei a tomar que tamb\u00e9m chega amanh\u00e3 cedam poder da palestra a\u00ed valeu galera at\u00e9 amanh\u00e3 s\u00f3 de volta do mundo a\u00ed \u00e9 em gest\u00e3o dirigir o filme<\/p>\n","protected":false},"excerpt":{"rendered":"<p>A maioria dos ataques a aplica\u00e7\u00f5es web ocorre devido \u00e0 falta de conhecimento de seguran\u00e7a da equipe de desenvolvimento&#8230; 00:56:37 A maioria dos ataques&#8230;<\/p>\n","protected":false},"author":1,"featured_media":206,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":[],"categories":[7,2],"tags":[48,276,279,277,274,275,49,57,11,273,278],"acf":[],"_links":{"self":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/205"}],"collection":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/comments?post=205"}],"version-history":[{"count":2,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/205\/revisions"}],"predecessor-version":[{"id":271,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/posts\/205\/revisions\/271"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media\/206"}],"wp:attachment":[{"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/media?parent=205"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/categories?post=205"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.criptografarphp.com.br\/site\/wp-json\/wp\/v2\/tags?post=205"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}