🔥 SEU COBOL PODE VIRAR API… E VOCÊ NEM SABIA 😳IBM HTTP Server no z/OS — a porta secreta que conecta o mainframe ao mundo

 

Bellacosa Mainframe e o servidor web dentro Mainframe

🔥 SEU COBOL PODE VIRAR API… E VOCÊ NEM SABIA 😳

IBM HTTP Server no z/OS — a porta secreta que conecta o mainframe ao mundo

Se você ainda acha que mainframe é “tela verde + batch”…
👉 você está anos atrás.

Existe um componente rodando silenciosamente no z/OS que transforma:

COBOL legado → API moderna → web → mobile → cloud

Esse cara é o IBM HTTP Server (IHS).
E hoje você vai entender como ele funciona de verdade — no estilo Bellacosa 👊🔥

---

🌐 O QUE É O IBM HTTP SERVER?

O IHS (IBM HTTP Server) é o web server oficial da IBM.

👉 Baseado no Apache, mas com:

• integração com z/OS
• segurança enterprise (RACF)
• performance absurda

---

💡 Tradução direta:

“É o Apache… só que preparado pra rodar num banco de bilhões.”

---

🧠 COMO ELE FUNCIONA (VISÃO REAL)

Quando alguém acessa:

https://empresa.com/api/clientes

Acontece isso:

Cliente (browser/app)
   ↓
IBM HTTP Server (z/OS)
   ↓
Backend (CICS / COBOL / DB2)
   ↓
Resposta HTTP

---

🔥 Insight importante

O IHS NÃO executa COBOL diretamente.

Ele:

• recebe requisição
• encaminha para outro componente (ex: CICS, WAS)
• devolve resposta

---

🏗️ ARQUITETURA TÍPICA

Internet
   ↓
IHS (porta 80/443)
   ↓
WebSphere / z/OS Connect
   ↓
COBOL / CICS / DB2

---

⚙️ INSTALAÇÃO (nível z/OS raiz)

🔹 Requisitos básicos

• z/OS instalado
• TCP/IP ativo
• USS (UNIX System Services)
• Dataset do produto (SMP/E)

---

🔥 Onde ele vive?

👉 No USS (Unix do z/OS)

Exemplo de path:

/usr/lpp/ihs

---

💡 Insight

Se não conhece USS… já começou errado no mundo moderno do mainframe.

---

📦 INSTALAÇÃO via SMP/E

Resumo do processo:

1. RECEIVE
2. APPLY
3. ACCEPT

👉 padrão IBM para software

---

⚙️ CONFIGURAÇÃO

Arquivo principal:

httpd.conf

---

🔹 Exemplo simples

Listen 8080

ServerName localhost

DocumentRoot "/u/ihs/htdocs"

<Directory "/u/ihs/htdocs">
    AllowOverride None
    Require all granted
</Directory>

---

💡 Tradução

• porta → onde escuta
• document root → onde estão arquivos
• directory → permissões

---

🚀 EXECUÇÃO NO z/OS

Você pode iniciar via:

🔹 USS (direto)

apachectl start

---

🔹 Ou via JCL (mainframe raiz 👇)

//IHSSTART JOB ...
//STEP1 EXEC PGM=BPXBATCH
//STDOUT DD SYSOUT=*
//STDERR DD SYSOUT=*
//STDPARM DD *
SH /usr/lpp/ihs/bin/apachectl start
/*

---

🔥 Tradução Bellacosa

JCL chama UNIX… que sobe o servidor web 😳

---

🧪 TESTES (o momento da verdade)

Após subir:

🔹 Teste básico

curl http://localhost:8080

---

🔹 Ou browser:

http://hostname:8080

---

🧩 INTEGRAÇÃO COM COBOL

🔥 Cenário real

Você tem:

• programa COBOL em CICS

Quer expor como API:

👉 Caminho:

IHS → z/OS Connect → CICS → COBOL

---

💡 Resultado

• COBOL vira REST API
• JSON entra / sai
• mundo moderno conversa com legado

---

🔐 SEGURANÇA

🔹 Recursos:

• SSL/TLS
• certificados digitais
• integração com RACF

---

🧨 Easter Egg

Você pode proteger endpoint HTTP com regras RACF.

👉 Sim, segurança de banco direto na web.

---

⚡ PERFORMANCE

🔥 Diferenciais no z/OS:

• alta disponibilidade
• integração com sistema
• throughput absurdo

---

💡 Insight

O gargalo raramente é o IHS…
geralmente é o backend (COBOL/DB2)

---

🧨 CURIOSIDADES (nível Bellacosa)

🧠 1. Apache dentro do mainframe

Sim, mas adaptado e otimizado.

---

🔥 2. COBOL pode responder HTTP

Com ajuda de outros componentes.

---

💀 3. Web pode rodar sem sair da máquina

Com HiperSockets (memória ↔ memória).

---

🤯 4. Você pode ter API moderna…

rodando código de 30 anos.

---

⚠️ PROBLEMAS COMUNS

• porta já em uso
• erro de permissão USS
• SSL mal configurado
• backend não responde

---

🧠 DICAS DE OURO

💡 Dica 1

Sempre valide:

netstat -a | grep 8080

---

💡 Dica 2

Logs são sua vida:

logs/error_log
logs/access_log

---

💡 Dica 3

Entenda o fluxo completo

IHS raramente é o problema — ele só repassa.

---

🎯 RESUMO FINAL

✔ IHS = web server do z/OS

✔ Baseado em Apache

✔ Roda no USS

✔ Integra com COBOL via outros serviços

✔ Permite API, web e cloud

---

💥 FRASE FINAL

“O IBM HTTP Server é o tradutor…
que faz o mundo moderno entender o que o COBOL sempre soube fazer.”

 

🔥 criar versão COBOL hands-on (CICS + DB2)

 

Bellacosa Mainframe lab seu cics sob ataque

🔥💀 COBOL SECURITY LAB — “SEU CICS SOB ATAQUE”

Hands-on prático com CICS + DB2 para aprender segurança na marra

---

☕ INTRODUÇÃO

Você não vai só aprender…

👉 você vai:

• explorar vulnerabilidade
• corrigir
• validar

💣 exatamente como um atacante faria

---

🧪 LAB 1 — SQL INJECTION NO DB2

🎯 Objetivo

Mostrar como um COBOL pode ser vulnerável

---

💻 Código vulnerável

IDENTIFICATION DIVISION.
PROGRAM-ID. LOGIN.

DATA DIVISION.
WORKING-STORAGE SECTION.
01 WS-USER     PIC X(20).
01 WS-PASS     PIC X(20).

PROCEDURE DIVISION.

EXEC SQL
  SELECT NAME INTO :WS-USER
  FROM USERS
  WHERE NAME = :WS-USER
  AND PASSWORD = :WS-PASS
END-EXEC.

---

💣 Ataque

Input:

' OR '1'='1

---

💥 Resultado

👉 bypass de autenticação

---

✅ Correção

IF WS-USER NOT ALPHABETIC
   DISPLAY "INVALID INPUT"
   STOP RUN
END-IF.

---

💬 Insight

👉 validação é a primeira defesa

---

🧪 LAB 2 — BUFFER / TAMANHO DE INPUT

🎯 Objetivo

Evitar overflow e dados inválidos

---

💻 Problema

01 WS-NAME PIC X(10).

Input:

AAAAAAAAAAAAAAAAAAAAAAAAAAAA

---

💥 Resultado

👉 truncamento / corrupção

---

✅ Correção

IF LENGTH OF WS-NAME > 10
   DISPLAY "INPUT TOO LONG"
END-IF.

---

🧪 LAB 3 — HARDCODED PASSWORD

🎯 Objetivo

Eliminar segredo no código

---

❌ Código

MOVE "DB123456" TO WS-PASS.

---

💣 Problema

👉 vazamento garantido

---

✅ Correção

• usar RACF
• usar external security

👉 RACF

---

🧪 LAB 4 — VALIDAÇÃO DE COMMAREA (CICS)

🎯 Objetivo

Proteger entrada CICS

---

💻 Código vulnerável

MOVE DFHCOMMAREA TO WS-DATA.

---

💣 Problema

👉 dados maliciosos

---

✅ Correção

IF EIBCALEN = 0
   DISPLAY "NO DATA"
   RETURN
END-IF.

---

🧪 LAB 5 — LOGGING SEGURO

🎯 Objetivo

Evitar vazamento de dados

---

❌ Errado

DISPLAY "PASSWORD: " WS-PASS.

---

💣 Problema

👉 senha em log

---

✅ Correção

DISPLAY "LOGIN ATTEMPT".

---

🧪 LAB 6 — CONTROLE DE ACESSO (RACF)

🎯 Objetivo

Simular autorização

---

💻 Exemplo

CALL 'RACROUTE' USING ...

---

💬 Resultado

👉 só usuários autorizados acessam

---

🧪 LAB 7 — INTEGRAÇÃO COM API (RISCO REAL)

🎯 Objetivo

Simular API via CICS

---

💣 Problema

👉 input externo não confiável

---

✅ Solução

• validar JSON
• sanitizar campos

---

🧪 LAB 8 — TRATAMENTO DE ERRO

🎯 Objetivo

Não expor sistema

---

❌ Errado

DISPLAY SQLCODE.

---

💣 Problema

👉 revela estrutura interna

---

✅ Correto

DISPLAY "ERROR OCCURRED".

---

🧪 LAB 9 — CONTROLE DE TRANSAÇÃO

🎯 Objetivo

Evitar inconsistência

---

💻 Uso

EXEC CICS SYNCPOINT
END-EXEC.

---

💬 Importante

👉 protege integridade

---

🧪 LAB 10 — SIMULAR ATAQUE REAL

🎯 Objetivo

Mentalidade hacker

---

💻 Faça

• testar inputs inválidos
• tentar bypass
• observar comportamento

---

💥 Resultado

👉 descobrir falhas reais

---

🧠 VISÃO FINAL

Você fez:

• ataque
• defesa
• validação

👉 isso é segurança real

---

💬 FRASE FINAL

“Mainframe não é seguro por ser forte…
é seguro quando você fecha as portas certas.”

 

Bellacosa Mainframe apresenta segurança em codigo

🔥💀 “SEU CÓDIGO ESTÁ SEGURO… OU SÓ AINDA NÃO FOI HACKEADO?”

Do Cartão Perfurado ao DevSecOps: como as mesmas falhas continuam derrubando sistemas — inclusive o seu

---

☕ INTRODUÇÃO — O ERRO QUE ATRAVESSOU DÉCADAS

Se você acha que segurança de aplicação é algo “moderno”…

👉 você já começou errado.

Há mais de 20 anos, os mesmos problemas que aparecem hoje na lista da OWASP já existiam.

E o mais assustador:

💣 Eles continuam sendo explorados hoje.

---

🧠 UM POUCO DE HISTÓRIA (SIM, ISSO COMEÇA NO MAINFRAME)

Antes de:

• APIs REST
• microservices
• cloud

…existia:

🧱 Mainframe + COBOL + CICS + DB2

E adivinha?

👉 Os mesmos problemas já estavam lá:

• input sem validação
• acesso indevido
• dados sensíveis expostos

---

💀 EASTER EGG HISTÓRICO

Nos anos 70–80, segurança era baseada em:

👉 “ninguém tem acesso físico ao terminal”

Spoiler:

💣 isso não durou muito

---

🔐 O NASCIMENTO DA SEGURANÇA REAL

Ferramentas como o RACF surgiram para resolver:

• quem pode acessar
• o que pode acessar
• quando pode acessar

👉 primeiro passo para segurança moderna

---

💣 O PROBLEMA REAL: NÃO É TECNOLOGIA

👉 É comportamento

Hoje temos:

• scanners
• IA
• automação
• cloud

E mesmo assim…

💥 vazamentos continuam acontecendo

---

📊 DADO REAL (que assusta)

Tempo médio para detectar um breach:

👉 ~212 dias

Tempo suficiente para:

• invadir
• explorar
• exfiltrar dados
• desaparecer

---

🔥 OWASP TOP 10 — O MANUAL DO ATACANTE

A OWASP lista os erros mais explorados.

E aqui vai o choque:

👉 quase todos são básicos

---

💣 EXEMPLO 1 — SQL INJECTION (O DINOSSAURO QUE AINDA MATA)

' OR 1=1 --

👉 isso ainda quebra sistemas hoje

---

💣 EXEMPLO 2 — XSS (VOCÊ CONFIA NO USUÁRIO?)

<script>stealCookies()</script>

👉 o browser executa
👉 o atacante assume a sessão

---

💣 EXEMPLO 3 — DEPENDÊNCIAS VULNERÁVEIS

Você escreve:

👉 20% do código

O resto?

👉 bibliotecas externas 😬

---

🛠️ DEVSECOPS — A VIRADA DE JOGO

Antes:

👉 segurança era responsabilidade de outro time

Hoje:

👉 “You build it, you run it… and you secure it.”

---

🔄 PIPELINE MODERNO

code → scan → test → deploy → monitor

Ferramentas:

• SAST (ex: análise estática)
• DAST (ataque simulado)
• SCA (dependências)
• runtime protection

---

🧪 MÃO NA MASSA (O QUE VOCÊ PRATICOU)

Você fez:

🔍 SAST

• analisou código sem rodar

---

🌐 DAST

• atacou a aplicação com ferramentas

---

📦 SCA

• descobriu vulnerabilidade em libs

---

🔐 Secrets

• saiu do hardcode → Vault

---

🐳 Docker Security

• corrigiu imagem vulnerável

---

👉 isso é exatamente o que empresas fazem hoje

---

💀 ERRO CLÁSSICO (QUE DERRUBA EMPRESA)

password = "123456"

👉 parece inofensivo

👉 vira incidente milionário

---

🧠 A VERDADE QUE NINGUÉM TE CONTA

👉 Segurança não falha por falta de ferramenta

👉 Segurança falha por:

• pressa
• ignorância
• negligência

---

🔥 CURIOSIDADE (QUE MUDA SUA VISÃO)

O maior ataque da história recente (Log4j):

👉 veio de uma biblioteca

Não do código principal

---

🚀 DO DEV AO ENGENHEIRO DE SEGURANÇA

Depois desse conhecimento, você não é mais só dev:

👉 você entende:

• como atacar
• como defender
• onde estão os riscos

---

🧱 E O COBOL NISSO TUDO?

Tudo isso se aplica em:

• CICS
• DB2
• APIs via z/OS Connect

---

👉 Mainframe não é imune
👉 ele só é mais disciplinado

---

💬 FRASE PRA GRAVAR

“Você não precisa ser hackeado para estar vulnerável…
basta ignorar o básico.”

---

🔥 CONCLUSÃO (SEM FILTRO)

👉 Se você não:

• valida input
• protege secrets
• escaneia dependências
• monitora

💣 seu sistema já está em risco

---

🚀 CHAMADA FINAL

Agora você tem duas opções:

👉 continuar escrevendo código
ou
👉 começar a proteger sistemas

 

Bellacosa Mainframe apresenta o OWASP para Analistas programadores COBOL 

💀🔐 “OWASP NÃO É SOBRE WEB… É SOBRE SOBREVIVER — O Guia que Todo Dev COBOL Sênior Ignora Até Ser Tarde”

---

☕ Introdução — o incômodo necessário

Se você trabalha com COBOL há anos, já deve ter ouvido isso:

“Mainframe é seguro por natureza.”

Agora deixa eu ajustar essa frase:

“Mainframe é robusto…
mas segurança depende de você.”

E é exatamente aqui que entra o
👉 OWASP

---

🧠 O que é OWASP (sem enrolação)

OWASP é uma organização global que reúne especialistas para responder uma pergunta simples:

“Como sistemas são invadidos… de verdade?”

E mais importante:

“Como evitar isso?”

---

💡 A essência do OWASP

• Não vende produto
• Não é vendor
• Não é marketing

👉 É conhecimento aberto baseado em ataques reais

---

⏳ Origem — por que isso nasceu?

No início dos anos 2000:

• Aplicações web explodindo
• Segurança praticamente ignorada
• Desenvolvedores focados só em “fazer funcionar”

Resultado?

💣 Sistemas sendo quebrados com facilidade ridícula

Foi aí que nasceu o OWASP.

---

🎯 Objetivo inicial

Criar um guia simples:

“Aqui estão as formas mais comuns de te hackearem.”

---

💣 OWASP Top 10 — o mapa do inimigo

Esse é o coração do projeto:

👉 OWASP Top 10

Uma lista das vulnerabilidades mais críticas.

---

⚠️ Easter Egg #1

Muitas falhas do Top 10 existem há mais de 15 anos

E continuam acontecendo.

---

🔥 Exemplos que batem direto no seu COBOL

1) Injection (SQL Injection)

EXEC SQL
 SELECT * FROM USERS
 WHERE NAME = :WS-NAME
END-EXEC

💀 Sem validação → vulnerável

---

2) Broken Access Control

• Usuário acessa dados que não deveria
• Falha de lógica, não de tecnologia

👉 clássico em CICS mal desenhado

---

3) Sensitive Data Exposure

MOVE "123456" TO WS-PASSWORD

💣 Parabéns, você criou um incidente

---

4) Security Misconfiguration

• RACF mal configurado
• Permissões abertas
• Ambientes sem controle

---

🧠 O ponto que muda tudo

OWASP não fala de linguagem.

Ele fala de comportamento.

---

💬 Tradução direta

• Não importa se é COBOL, Java ou Node
• Se você confiar no input → você perde
• Se você expor segredo → você perde
• Se você não validar → você perde

---

🔍 Como isso entra no seu dia a dia (COBOL + CICS + DB2)

Cenário real moderno:

• API REST → chama CICS
• Frontend → envia dados
• DB2 → executa query

👉 Isso é um ambiente OWASP puro

---

⚠️ Easter Egg #2

O ataque começa no browser…
e termina no seu programa COBOL

---

🧨 OWASP na prática (não teórica)

💥 Fluxo real de ataque:

1. Input malicioso entra via API
2. Passa sem validação
3. Chega no COBOL
4. Executa lógica indevida
5. Acesso indevido ao DB2
6. Logs não detectam

👉 invasor dentro por meses

---

🛠️ Como usar OWASP na prática (PASSO A PASSO)

---

🥇 PASSO 1 — Pare de confiar no input

“Tudo que vem de fora é suspeito.”

• Tela
• API
• arquivo
• integração

---

🥈 PASSO 2 — Validação forte

• tamanho
• tipo
• conteúdo

👉 não é “IF != SPACE” 😅

---

🥉 PASSO 3 — Proteja secrets

• nunca em código
• usar RACF corretamente
• ou vault externo

---

🏅 PASSO 4 — Monitore comportamento

• logs
• acessos estranhos
• padrões anormais

---

🎖️ PASSO 5 — Use o stack moderno

• SAST → antes de rodar
• DAST → testando ataque
• SCA → dependências

👉 DevSecOps

---

🧩 Curiosidades que poucos sabem

---

🧠 Curiosidade #1

OWASP é mantido por voluntários.

👉 os melhores especialistas do mundo colaboram de graça

---

💣 Curiosidade #2

Grandes ataques (inclusive bancos) exploram falhas do Top 10

👉 nada “sofisticado”
👉 só mal feito bem explorado

---

🔥 Curiosidade #3

OWASP não é só Top 10

Eles têm:

• guias de código seguro
• ferramentas
• labs
• projetos específicos

---

⚠️ O maior erro do dev sênior

“Eu já vi de tudo… isso não me pega.”

---

💥 Realidade

• Sistemas antigos + integração moderna = risco novo
• Código legado + API aberta = superfície de ataque gigante

---

🧠 Mentalidade que muda o jogo

Antes:

“Funciona?”

Agora:

“É seguro?”

---

💀 Frases pra carregar com você

“Se entra sem controle… vira comando.”

“Se está no código… não é segredo.”

“Você não precisa ser hackeado… para estar vulnerável.”

---

☕ Conclusão — o choque final

OWASP não é um framework.

Não é uma ferramenta.

Não é modinha.

---

👉 É um espelho.

Ele mostra:

• onde você erra
• como você pode cair
• e como evitar o pior

---

🎯 Fechamento estilo Bellacosa

“O mainframe não vai te salvar.”

“O COBOL não vai te salvar.”

(pausa)

“Mas o conhecimento… pode.”

 

Bellacosa Mainframe proteja seu CICS dos hackers

 

💀🔥 “Seu CICS Está Conversando com o Hacker — e Você Chamando de Integração”

XSS, SAST, DAST e SCA explicados para quem vive de COBOL… e precisa sobreviver ao mundo moderno

---

☕ Introdução — o choque silencioso

Você passou anos dominando:

• COBOL
• CICS
• DB2
• JCL

E agora vem alguém falar de:

XSS… SAST… DAST… SCA…

Parece coisa de web, né?

(pausa)

Não é.

👉 É sobre como seu sistema pode ser explorado hoje, mesmo sendo legado.

---

🌐 XSS — O ataque que começa fora… e termina no seu COBOL

💡 O que é

XSS (Cross-Site Scripting) é quando alguém injeta código malicioso via interface (web/app).

---

⚡ A história (origem)

No começo da web:

• Sistemas confiavam no input
• Ninguém validava nada
• Browsers executavam tudo

Resultado?

💣 Scripts maliciosos rodando dentro da aplicação

---

💥 O pulo do gato (Easter Egg)

XSS não é só frontend.

Hoje ele pode:

• roubar sessão
• alterar requisições
• chamar APIs

👉 e aí…

“Quem executa o comando final?”

👉 Seu backend.
👉 Seu COBOL.

---

🧠 Exemplo prático (fluxo real)

1. Usuário injeta script no campo web
2. Script roda no navegador de outro usuário
3. Esse script chama API
4. API chama CICS
5. COBOL processa como legítimo

💀 Pronto. Você foi usado como ferramenta.

---

🎯 Insight de sênior

“O problema não é o script…
é confiar no que veio de fora.”

---

🔍 SAST — O scanner que te salva antes do desastre

💡 O que é

SAST (Static Application Security Testing) analisa seu código sem executar.

---

🧠 Tradução direta

“É alguém lendo seu COBOL procurando erro de segurança.”

---

⏳ Origem

Surgiu quando empresas perceberam:

“Corrigir bug em produção custa caro.”

👉 Então começaram a analisar antes.

---

💻 Exemplo COBOL

EXEC SQL
 SELECT * FROM CLIENTS
 WHERE NAME = :WS-NAME
END-EXEC

Se WS-NAME não for validado…

👉 SAST grita.

---

🎯 O que ele pega

• SQL Injection
• lógica insegura
• uso indevido de variáveis
• padrões perigosos

---

💣 Easter Egg

70% das falhas poderiam ser evitadas aqui.

Mas…

ninguém roda SAST direito.

---

🧨 DAST — Quando o sistema enfrenta o mundo real

💡 O que é

DAST (Dynamic Application Security Testing) testa o sistema rodando.

---

🧠 Tradução direta

“Aqui é o hacker batendo na sua porta.”

---

⚡ Como funciona

• envia inputs maliciosos
• testa endpoints
• tenta quebrar autenticação

---

💥 Exemplo real

• envia ' OR '1'='1
• manipula headers
• força comportamento inesperado

👉 se o sistema responder errado…

💀 vulnerabilidade confirmada

---

🎯 Diferença brutal

SAST	DAST
teoria	prática
código	comportamento
prevenção	exploração

---

💣 Easter Egg

Tem coisa que só aparece em produção.

---

🧩 SCA — O inimigo invisível

💡 O que é

SCA (Software Composition Analysis) analisa dependências.

---

🧠 Tradução direta

“Seu código pode estar perfeito…
e ainda assim vulnerável.”

---

⏳ Origem

Explosão de:

• bibliotecas
• frameworks
• integrações

👉 ninguém mais escreve tudo do zero

---

🔥 No seu mundo (sim, isso te afeta)

• copybooks compartilhados
• serviços externos
• APIs
• módulos reutilizados

---

💥 Exemplo real

Você usa um serviço interno vulnerável.

👉 você herda o problema.

---

💣 Easter Egg

Muitos ataques recentes são cadeia de dependência.

---

⚔️ JUNTANDO TUDO — O ECOSSISTEMA REAL

💡 Como tudo se conecta

1. XSS → entra pelo frontend
2. DAST → descobre falha rodando
3. SAST → poderia ter evitado
4. SCA → revela risco escondido

---

🧠 Tradução brutal

Você não perde por uma falha.

Você perde por um conjunto.

---

🛠️ COMO APLICAR ISSO NO SEU DIA A DIA (PASSO A PASSO)

---

🥇 1. Pare de confiar no input

• tudo é suspeito
• sempre

---

🥈 2. Validação forte

• tipo
• tamanho
• conteúdo

---

🥉 3. Integre SAST no pipeline

• antes do deploy
• obrigatório

---

🏅 4. Execute DAST regularmente

• simular ataque
• testar comportamento

---

🎖️ 5. Monitore dependências (SCA)

• CVEs
• versões
• integrações

---

🧠 6. Pense como atacante

“Se eu quisesse quebrar isso… como faria?”

---

💀 ERROS CLÁSSICOS DE DEV SÊNIOR

• “isso nunca aconteceu aqui”
• “mainframe já é seguro”
• “isso é problema do front”

---

🔥 FRASES PRA LEVAR PRA VIDA

“Segurança não é tecnologia… é disciplina.”

“Se entra sem controle… vira comando.”

“O ataque começa longe… mas termina no seu código.”

---

☕ CONCLUSÃO — A VERDADE QUE NINGUÉM GOSTA

Você não precisa aprender isso porque virou moda.

Você precisa porque:

👉 seu sistema agora está exposto
👉 seu COBOL faz parte de um ecossistema
👉 e o atacante já entendeu isso

---

🎯 Fechamento

“Você pode continuar escrevendo código que funciona…”

(pausa)

“Ou começar a escrever código que sobrevive.”