 |
| Bellacosa Mainframe teste seu sistema sob ataque |
🔥💀 “VOCÊ APRENDEU SEGURANÇA… MAS JÁ TESTOU SEU SISTEMA SOB ATAQUE?”
10 atividades práticas para sair da teoria e começar a proteger sistemas de verdade
☕ INTRODUÇÃO — A VERDADE QUE DÓI
Segurança não se aprende lendo.
👉 Se aprende quebrando sistema… e depois corrigindo.
Se você não praticar:
💣 você só vai descobrir o problema… quando o atacante descobrir primeiro.
🧪 ATIVIDADE 1 — ENCONTRE UM SQL INJECTION NO SEU PRÓPRIO SISTEMA
🎯 Objetivo
Pensar como atacante
💻 Faça isso
- Pegue um input (API, tela, CICS, batch input)
- Teste:
' OR 1=1 --
💥 Resultado esperado
👉 Se algo estranho acontecer… você tem vulnerabilidade
🧠 Versão COBOL
-
validar
WS-FIELD - nunca confiar em input externo
💬 Comentário
“Se você não testar… alguém vai testar por você.”
🧪 ATIVIDADE 2 — REMOVA TODOS OS HARDCODED SECRETS
🎯 Objetivo
Eliminar o erro mais comum do mundo
💻 Procure no seu código
password
token
key
secret
💥 Se encontrar:
👉 você tem risco crítico
✅ Solução
- usar Vault / RACF
- variáveis externas
💬 Easter egg
👉 80% dos vazamentos começam assim
🧪 ATIVIDADE 3 — RODE UM SCAN DE SEGURANÇA
🎯 Objetivo
Ver o que você não vê
💻 Ferramentas
- Snyk
- SonarQube
💥 Resultado
👉 lista de vulnerabilidades reais
💬 Comentário
“Scanner não cria problema… só revela.”
🧪 ATIVIDADE 4 — EXPLORE UM XSS NA PRÁTICA
🎯 Objetivo
Ver o ataque funcionando
💻 Teste
<script>alert('XSS')</script>
💥 Resultado
👉 se executar → vulnerável
🧠 Versão real
- portais corporativos
- front-end conectado ao mainframe
🧪 ATIVIDADE 5 — ATUALIZE UMA DEPENDÊNCIA VULNERÁVEL
🎯 Objetivo
Entender SCA na prática
💻 Faça
- rode scan
- escolha uma lib vulnerável
- atualize
💥 Resultado
👉 CVE desaparece
💬 Comentário
“Seu código pode estar perfeito… sua lib não.”
🧪 ATIVIDADE 6 — QUEBRE SEU PRÓPRIO LOGIN
🎯 Objetivo
Pensar como invasor
💻 Teste
- inputs inválidos
- SQL injection
- brute force simples
💥 Resultado
👉 encontrar bypass
💬 Comentário
“Se login falha… todo sistema falha.”
🧪 ATIVIDADE 7 — IMPLEMENTE HEADERS DE SEGURANÇA
🎯 Objetivo
Blindar camada web
💻 Adicionar
- Content-Security-Policy
- HSTS
- X-Frame-Options
💥 Resultado
👉 reduz ataque XSS e clickjacking
🧪 ATIVIDADE 8 — CRIPTOGRAFE UM ARQUIVO SENSÍVEL
🎯 Objetivo
Proteger dados em repouso
💻 Use OpenSSL
openssl enc -aes-256-cbc -salt -pbkdf2 -iter 2500
💥 Resultado
👉 arquivo ilegível sem senha
💬 Comentário
“Dado sem criptografia é dado público.”
🧪 ATIVIDADE 9 — CRIE UM MINI PIPELINE DE SEGURANÇA
🎯 Objetivo
Automação
💻 Simule
commit → scan → resultado → bloqueio
💥 Resultado
👉 segurança contínua
🧠 Versão mainframe
- Jenkins + JCL + scan
🧪 ATIVIDADE 10 — FAÇA UM “ATAQUE CONTROLADO”
🎯 Objetivo
Pensar como hacker
💻 Faça
- use OWASP ZAP
- ataque sua própria aplicação
💥 Resultado
👉 visão real de risco
💬 Comentário
“Sistema seguro é sistema testado sob ataque.”
🧠 CONCLUSÃO — O DIFERENCIAL REAL
Depois dessas 10 atividades, você não é mais:
👉 um dev que escreve código
Você é:
👉 alguém que entende como o sistema quebra… e como evitar isso
💬 FRASE FINAL
“Segurança não é o que você implementa…
é o que sobrevive quando alguém tenta quebrar.”
