Segurança para Devs
05/05/2026
Ataques de XML External Entity (XXE) exploram vulnerabilidades em parsers XML que processam entidades externas definidas no Document Type Definition (DTD). Quando um parser XML mal configurado encontra uma referência a uma entidade externa, ele tenta resolver essa referência, podendo acessar arquivos locais, realizar requisições de rede ou executar outras ações não autorizadas.
Segurança para Devs
05/05/2026
Cross-Site Scripting (XSS) é uma vulnerabilidade de segurança que permite a injeção de scripts maliciosos em páginas web visualizadas por outros usuários. Para desenvolvedores, XSS representa um dos riscos mais críticos, pois explora a confiança que o navegador deposita no conteúdo originado de um servidor legítimo.
Segurança para Devs
05/05/2026
Zero Trust (ZT) é um modelo de segurança que elimina a confiança implícita baseada em localização de rede. No modelo tradicional de perímetro, tudo dentro da rede corporativa era considerado confiável. Com a ascensão do trabalho remoto, computação em nuvem e microsserviços, esse pressuposto se tornou insustentável.
Segurança para Devs
05/05/2026
Funcionalidades de upload de arquivos estão presentes em praticamente toda aplicação web moderna — perfis de usuário, sistemas de anexos, galerias de imagens, portais de documentos. Essa superfície de ataque é particularmente perigosa porque permite que o atacante insira conteúdo arbitrário no servidor. Um único arquivo malicioso pode comprometer toda a infraestrutura.
Segurança para Devs
05/05/2026
Em segurança de software, o cliente é qualquer entidade externa ao seu servidor: navegadores, aplicativos móveis, APIs de terceiros, ferramentas de linha de comando ou até mesmo sistemas internos que não passaram por sua validação. O princípio fundamental é: nunca assuma que os dados recebidos são seguros, válidos ou bem-intencionados.
Segurança para Devs
05/05/2026
Threat modeling é uma prática sistemática para identificar, documentar e mitigar riscos de segurança em um sistema antes que ele seja implementado. Para desenvolvedores, essa prática é essencial porque permite enxergar vulnerabilidades na arquitetura antes que se tornem bugs caros ou incidentes de segurança. Em vez de corrigir problemas após o deploy, o threat modeling adota uma postura proativa — o famoso "shift left" na segurança.
Segurança para Devs
05/05/2026
Timing attacks (ataques de temporização) são uma classe de ataques de canal lateral que exploram variações mensuráveis no tempo de processamento de um sistema para extrair informações sensíveis. O princípio fundamental é simples: operações diferentes levam tempos diferentes para serem executadas, e essas diferenças — mesmo que microscópicas — podem revelar segredos como senhas, chaves criptográficas ou tokens de autenticação.
Segurança para Devs
05/05/2026
Subdomain takeover é um ataque no qual um invasor assume o controle de um subdomínio que não está mais vinculado a um serviço ativo, mas cujo registro DNS ainda existe. O cenário clássico envolve um registro CNAME que aponta para um serviço externo desativado, como um bucket S3 da AWS, uma aplicação no Heroku ou um site no GitHub Pages.
Segurança para Devs
05/05/2026
Subresource Integrity (SRI) é um recurso de segurança do navegador que permite verificar se um recurso carregado de uma CDN ou de qualquer origem externa não foi adulterado. Em termos práticos, SRI garante que o arquivo JavaScript ou CSS que você está carregando é exatamente o mesmo que o desenvolvedor original publicou, sem nenhuma modificação maliciosa no meio do caminho.