Programa do Curso

Introdução

  • Visão geral do OWASP, seu propósito e importância na segurança da web
  • Explicação da lista OWASP Top 10
    • A01:2021-Controle de Acesso Quebrado avança da quinta posição; 94% das aplicações foram testadas por algum tipo de controle de acesso quebrado. As 34 Enumerações Comuns de Fraquezas (CWEs) mapeadas para o Controle de Acesso Quebrado tiveram mais ocorrências em aplicações do que qualquer outra categoria.
    • A02:2021-Falhas Criptográficas avança uma posição para #2, anteriormente conhecida como Exposição de Dados Sensíveis, que era um sintoma amplo em vez de uma causa raiz. O foco renovado aqui está nas falhas relacionadas à criptografia, que frequentemente levam à exposição de dados sensíveis ou comprometimento do sistema.
    • A03:2021-Injeção desce para a terceira posição. 94% das aplicações foram testadas por algum tipo de injeção, e as 33 CWEs mapeadas para esta categoria têm o segundo maior número de ocorrências em aplicações. A Injeção de Script entre Sites agora faz parte desta categoria nesta edição.
    • A04:2021-Design Inseguro é uma nova categoria para 2021, com foco nos riscos relacionados a falhas de design. Se realmente quisermos “avançar à esquerda” como indústria, é necessário maior uso de modelagem de ameaças, padrões e princípios de design seguros, e arquiteturas de referência.
    • A05:2021-Misconfiguração de Segurança avança da sexta posição na edição anterior; 90% das aplicações foram testadas por algum tipo de misconfiguração. Com mais mudanças para software altamente configurável, não é surpresa ver esta categoria avançar. A categoria anterior para Entidades Externas XML (XXE) agora faz parte desta categoria.
    • A06:2021-Componentes Vulneráveis e Desatualizados anteriormente intitulada Uso de Componentes com Vulnerabilidades Conhecidas e é #2 na pesquisa da comunidade Top 10, mas também teve dados suficientes para fazer parte do Top 10 através da análise de dados. Esta categoria avança da posição #9 em 2017 e é um problema conhecido que enfrentamos ao testar e avaliar riscos. É a única categoria que não tem nenhuma Vulnerabilidade Comum e Exposição (CVE) mapeada para as CWEs incluídas, então pesos de exploração e impacto padrão de 5.0 são fatorados em suas pontuações.
    • A07:2021-Falhas de Identificação e Autenticação anteriormente intitulada Autenticação Quebrada e desce da segunda posição, agora inclui CWEs mais relacionados a falhas de identificação. Esta categoria ainda é uma parte integral do Top 10, mas a maior disponibilidade de frameworks padronizados parece estar ajudando.
    • A08:2021-Falhas na Integridade de Software e Dados é uma nova categoria para 2021, focada em fazer suposições relacionadas a atualizações de software, dados críticos e pipelines CI/CD sem verificar a integridade. Um dos maiores impactos ponderados dos dados de Vulnerabilidade Comum e Exposição/Sistema de Pontuação de Vulnerabilidade Comum (CVE/CVSS) mapeados para as 10 CWEs nesta categoria. A Desserialização Insegura de 2017 agora faz parte desta categoria maior.
    • A09:2021-Falhas em Registros e Monitoramento de Segurança anteriormente intitulada Registro e Monitoramento Insuficientes e é adicionado a partir da pesquisa da indústria (#3), avançando da posição #10 anterior. Esta categoria é expandida para incluir mais tipos de falhas, é desafiadora de testar e não está bem representada nos dados CVE/CVSS. No entanto, as falhas nesta categoria podem impactar diretamente a visibilidade, o alerta de incidentes e a forense.
    • A10:2021-Solicitações Falsas do Lado do Servidor (SSRF) é adicionada da pesquisa da comunidade Top 10 (#1). Os dados mostram uma taxa de incidência relativamente baixa com cobertura de testes acima da média, junto com classificações acima da média para potencial de Exploração e Impacto. Esta categoria representa o cenário em que os membros da comunidade de segurança nos dizem que isso é importante, mesmo que não esteja ilustrado nos dados neste momento.

Controle de Acesso Quebrado

  • Exemplos práticos de controles de acesso quebrados
  • Controles de acesso seguros e melhores práticas

Falhas Criptográficas

  • Análise detalhada de falhas criptográficas, como algoritmos de criptografia fracos ou gerenciamento inadequado de chaves
  • Importância dos mecanismos criptográficos fortes, protocolos seguros (SSL/TLS) e exemplos de criptografia moderna na segurança da web

Ataques de Injeção

  • Desdobramento detalhado de injeções SQL, NoSQL, OS e LDAP
  • Técnicas de mitigação usando instruções preparadas, consultas parametrizadas e escape de entradas

Design Inseguro

  • Exploração de falhas de design que podem levar a vulnerabilidades, como validação inadequada de entrada
  • Estratégias para arquitetura e princípios de design seguros

Misconfiguração de Segurança

  • Exemplos reais de misconfigurações
  • Etapas para prevenir misconfigurações, incluindo gerenciamento de configuração e ferramentas de automação

Componentes Vulneráveis e Desatualizados

  • Identificação dos riscos do uso de bibliotecas e frameworks vulneráveis
  • Melhores práticas para gerenciamento de dependências e atualizações

Falhas de Identificação e Autenticação

  • Questões comuns de autenticação
  • Estratégias de autenticação seguras, como autenticação multifator e manipulação adequada de sessão

Falhas na Integridade de Software e Dados

  • Foco em problemas como atualizações de software não confiáveis e manipulação de dados
  • Mecanismos seguros de atualização e verificações de integridade de dados

Falhas em Registros e Monitoramento de Segurança

  • Importância do registro de informações relevantes à segurança e monitoramento por atividades suspeitas
  • Ferramentas e práticas para registro adequado e monitoramento em tempo real para detectar violações precocemente

Solicitações Falsas do Lado do Servidor (SSRF)

  • Explicação de como os atacantes exploram vulnerabilidades SSRF para acessar sistemas internos
  • Táticas de mitigação, incluindo validação adequada de entrada e configurações de firewall

Melhores Práticas e Codificação Segura

  • Discussão abrangente sobre as melhores práticas para codificação segura
  • Ferramentas para detecção de vulnerabilidades

Resumo e Próximos Passos

Requisitos

  • Compreensão geral do ciclo de vida de desenvolvimento web
  • Experiência em desenvolvimento e segurança de aplicativos web

Público-Alvo

  • Desenvolvedores web
  • Líderes
 14 Horas

Número de participantes


Preço por Participante

Os cursos de treinamento abertos exigem mais de 5 participantes.

Declaração de Clientes (7)

Os componentes interativos e exemplos.

Raphael - Global Knowledge
Curso - OWASP Top 10

Máquina Traduzida

Abordagem prática e conhecimentos do formador

RICARDO
Curso - OWASP Top 10

Máquina Traduzida

O conhecimento do formador foi fenomenal

Patrick - Luminus
Curso - OWASP Top 10

Máquina Traduzida

exercícios, mesmo que fora da minha zona de conforto.

Nathalie - Luminus
Curso - OWASP Top 10

Máquina Traduzida

O formador é muito informativo e conhece realmente o tema

Blu Aguilar - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10

Máquina Traduzida

O Trainor é realmente um especialista no assunto.

Reynold - SGL Manila (Shared Service Center) Inc.
Curso - OWASP Top 10

Máquina Traduzida

Laboratório prático sobre como obter uma shell de uma máquina atacada

Catalin
Curso - OWASP Top 10

Máquina Traduzida

Próximas Formações Provisórias

OWASP Top 10

2025-12-01 09:30
14 Horas
Sao Paulo-Top Center Paulista
$ 3937 (online)
$ 4137 (Sala de aula)

OWASP Top 10

2025-12-15 09:30
14 Horas
Campinas - Shopping Galleria Plaza
$ 3937 (online)
$ 4337 (Sala de aula)

OWASP Top 10

2025-12-29 09:30
14 Horas
Sao Paulo - Domo Corporate ABC
$ 3937 (online)
$ 4197 (Sala de aula)

OWASP Top 10

2026-01-12 09:30
14 Horas
Recife - JCPM Trade Center
$ 3937 (online)
$ 4137 (Sala de aula)

OWASP Top 10

2026-01-26 09:30
14 Horas
Recife-Cicero Dias Shopping Center Recife
$ 3937 (online)
$ 4137 (Sala de aula)

Cursos Relacionados

DevSecOps Firefight: Breach, Fix & Fortify

7 Horas

Este mundo-classe, de ponta e prático workshop imerge os participantes nas realidades críticas da segurança de pipelines CI/CD modernas. Projetado para profissionais de segurança, DevOps engenheiros e desenvolvedores ansiosos para dominar a defesa avançada contra brechas em pipelines, o treinamento combina simulações ao vivo de ataques com ferramentas líderes da indústria e técnicas práticas de defesa.

Leia mais...

Teste de Segurança Web - Segurança e Testes de Aplicações Web usando OWASP

 21 Horas

Esta formação ao vivo orientada por um instrutor (online ou no local) destina-se a programadores, engenheiros e arquitectos que procuram proteger as suas aplicações e serviços Web.

No final desta formação, os participantes serão capazes de integrar, testar, proteger e analisar as suas aplicações e serviços Web utilizando a estrutura e as ferramentas de teste OWASP

Leia mais...

OWASP GenAI Security

 14 Horas

Com base nas últimas diretrizes do projeto OWASP GenAI Security, os participantes aprenderão a identificar, avaliar e mitigar ameaças específicas à IA por meio de exercícios práticos e cenários do mundo real.

Leia mais...

OWASP Mobile Security Testing Guide

 21 Horas

Este treinamento prático liderado por instrutor em Brasil (online ou presencial) é destinado a desenvolvedores, engenheiros e arquitetos que desejam aplicar os princípios, processos, técnicas e ferramentas de teste do MSTG para proteger seus aplicativos e serviços móveis.

Ao final deste treinamento, os participantes serão capazes de:

  • Explorar técnicas de teste para estrategizar uma implementação eficaz de testes de segurança no ciclo de desenvolvimento.
  • Realizar técnicas de teste para identificar vulnerabilidades e riscos gerais em aplicativos móveis.
  • Executar diversos processos de teste de segurança para proteger seus aplicativos móveis Android e iOS.
Leia mais...

Guia de Testes de Segurança Web OWASP

 21 Horas

Este treinamento ministrado por instrutor (online ou presencial) é voltado para desenvolvedores, engenheiros e arquitetos que desejam aplicar o framework de testes do WSTG, seus princípios e técnicas para proteger suas aplicações e serviços web.

Ao final deste treinamento, os participantes serão capazes de:

  • Usar o WSTG para implementar processos e técnicas de teste no ciclo de vida de desenvolvimento web.
  • Explorar diferentes técnicas de teste para personalizar o framework do WSTG com base nas necessidades empresariais.
  • Realizar diversos métodos de testes de segurança para proteger aplicações web contra riscos e ataques.
  • Criar um relatório de avaliação para documentar as descobertas e resultados dos testes de segurança.
Leia mais...

Como Escrever Código Seguro

 35 Horas

Este Curso em Brasil visa ajudar nos seguintes aspectos:

  1. Ajudar Desenvolvedores a dominar as técnicas de escrita de Código Seguro
  2. Ajudar Testadores de Software a testar a segurança da aplicação antes de publicá-la no ambiente de produção
  3. Ajudar Arquitetos de Software a compreender os riscos associados às aplicações
  4. Ajudar Líderes de Equipe a estabelecer as bases de segurança para os desenvolvedores
  5. Ajudar Web Masters a configurar os Servidores para evitar configurações incorretas
Leia mais...

Desenvolvedor Seguro Java (Inc OWASP)

 21 Horas

Este curso aborda os conceitos e princípios de codificação segura com Java através da metodologia de testes do Open Web Application Security Project (OWASP). O Open Web Application Security Project é uma comunidade online que cria artigos, metodologias, documentações, ferramentas e tecnologias de forma gratuita na área de segurança de aplicativos web.

Leia mais...

Desenvolvedor Seguro .NET (Incluindo OWASP)

 21 Horas

Este curso aborda os conceitos e princípios de codificação segura com ASP.NET através da metodologia de teste do Open Web Application Security Project (OWASP). O OWASP é uma comunidade online que cria artigos, metodologias, documentação, ferramentas e tecnologias gratuitamente disponíveis na área de segurança de aplicativos web.

Este Curso explora as funcionalidades de segurança do Framework .NET e como proteger aplicativos web.   
    
    
    
    
    

Leia mais...

Categorias Relacionadas

OWASP
OWASP