Bellacosa Mainframe teste seu sistema sob ataque

🔥💀 “VOCÊ APRENDEU SEGURANÇA… MAS JÁ TESTOU SEU SISTEMA SOB ATAQUE?”

10 atividades práticas para sair da teoria e começar a proteger sistemas de verdade

---

☕ INTRODUÇÃO — A VERDADE QUE DÓI

Segurança não se aprende lendo.
👉 Se aprende quebrando sistema… e depois corrigindo.

Se você não praticar:

💣 você só vai descobrir o problema… quando o atacante descobrir primeiro.

---

🧪 ATIVIDADE 1 — ENCONTRE UM SQL INJECTION NO SEU PRÓPRIO SISTEMA

🎯 Objetivo

Pensar como atacante

---

💻 Faça isso

• Pegue um input (API, tela, CICS, batch input)
• Teste:

' OR 1=1 --

---

💥 Resultado esperado

👉 Se algo estranho acontecer… você tem vulnerabilidade

---

🧠 Versão COBOL

• validar WS-FIELD
• nunca confiar em input externo

---

💬 Comentário

“Se você não testar… alguém vai testar por você.”

---

🧪 ATIVIDADE 2 — REMOVA TODOS OS HARDCODED SECRETS

🎯 Objetivo

Eliminar o erro mais comum do mundo

---

💻 Procure no seu código

password
token
key
secret

---

💥 Se encontrar:

👉 você tem risco crítico

---

✅ Solução

• usar Vault / RACF
• variáveis externas

---

💬 Easter egg

👉 80% dos vazamentos começam assim

---

🧪 ATIVIDADE 3 — RODE UM SCAN DE SEGURANÇA

🎯 Objetivo

Ver o que você não vê

---

💻 Ferramentas

• Snyk
• SonarQube

---

💥 Resultado

👉 lista de vulnerabilidades reais

---

💬 Comentário

“Scanner não cria problema… só revela.”

---

🧪 ATIVIDADE 4 — EXPLORE UM XSS NA PRÁTICA

🎯 Objetivo

Ver o ataque funcionando

---

💻 Teste

<script>alert('XSS')</script>

---

💥 Resultado

👉 se executar → vulnerável

---

🧠 Versão real

• portais corporativos
• front-end conectado ao mainframe

---

🧪 ATIVIDADE 5 — ATUALIZE UMA DEPENDÊNCIA VULNERÁVEL

🎯 Objetivo

Entender SCA na prática

---

💻 Faça

• rode scan
• escolha uma lib vulnerável
• atualize

---

💥 Resultado

👉 CVE desaparece

---

💬 Comentário

“Seu código pode estar perfeito… sua lib não.”

---

🧪 ATIVIDADE 6 — QUEBRE SEU PRÓPRIO LOGIN

🎯 Objetivo

Pensar como invasor

---

💻 Teste

• inputs inválidos
• SQL injection
• brute force simples

---

💥 Resultado

👉 encontrar bypass

---

💬 Comentário

“Se login falha… todo sistema falha.”

---

🧪 ATIVIDADE 7 — IMPLEMENTE HEADERS DE SEGURANÇA

🎯 Objetivo

Blindar camada web

---

💻 Adicionar

• Content-Security-Policy
• HSTS
• X-Frame-Options

---

💥 Resultado

👉 reduz ataque XSS e clickjacking

---

🧪 ATIVIDADE 8 — CRIPTOGRAFE UM ARQUIVO SENSÍVEL

🎯 Objetivo

Proteger dados em repouso

---

💻 Use OpenSSL

openssl enc -aes-256-cbc -salt -pbkdf2 -iter 2500

---

💥 Resultado

👉 arquivo ilegível sem senha

---

💬 Comentário

“Dado sem criptografia é dado público.”

---

🧪 ATIVIDADE 9 — CRIE UM MINI PIPELINE DE SEGURANÇA

🎯 Objetivo

Automação

---

💻 Simule

commit → scan → resultado → bloqueio

---

💥 Resultado

👉 segurança contínua

---

🧠 Versão mainframe

• Jenkins + JCL + scan

---

🧪 ATIVIDADE 10 — FAÇA UM “ATAQUE CONTROLADO”

🎯 Objetivo

Pensar como hacker

---

💻 Faça

• use OWASP ZAP
• ataque sua própria aplicação

---

💥 Resultado

👉 visão real de risco

---

💬 Comentário

“Sistema seguro é sistema testado sob ataque.”

---

🧠 CONCLUSÃO — O DIFERENCIAL REAL

Depois dessas 10 atividades, você não é mais:

👉 um dev que escreve código

Você é:

👉 alguém que entende como o sistema quebra… e como evitar isso

---

💬 FRASE FINAL

“Segurança não é o que você implementa…
é o que sobrevive quando alguém tenta quebrar.”