● 81 entries

Segurança de aplicações

ASLRA aleatorizacao do espaco de enderecos coloca codigo, pilhas, heaps e bibliotecas em posicoes aleatorias da memoria para impedir que um atacante preveja enderecos.
Assinatura de pacotesAplicação de uma assinatura criptográfica a um pacote de software para que os consumidores verifiquem a identidade do publicador e que o artefacto não foi alterado após a publicação.
Ataque de dependency confusionAtaque de cadeia de fornecimento em que um adversário publica num registo público um pacote malicioso com o mesmo nome de uma dependência interna, levando as ferramentas de build a obter a versão pública.
Atestação de proveniênciaDeclaração assinada e verificável por máquina que descreve como um artefacto de software foi produzido - fonte, sistema de build, parâmetros e dependências - para os consumidores confiarem na sua origem.
Atributo sandbox de iframeAtributo HTML que aplica restricoes extras ao conteudo de um iframe, bloqueando scripts, formularios, navegacao e acesso same-origin a menos que sejam reativados.
Builds reprodutíveisPráticas de build que garantem que compilar o mesmo código-fonte com as mesmas instruções produz um artefacto idêntico bit a bit, independentemente de quando ou onde é construído.
Cabeçalhos de segurança HTTPCabeçalhos de resposta que instruem o navegador a aplicar comportamentos defensivos: HTTPS obrigatório, restrições de framing, políticas de conteúdo e controle de referrer.
Canal Lateral de Execução EspeculativaClasse de vulnerabilidades microarquiteturais em que CPUs vazam dados através de caches e preditores depois de executarem instruções especulativamente por caminhos que não deveriam executar.
Canario de pilhaUm canario de pilha e um valor secreto colocado entre os buffers locais de uma funcao e o endereco de retorno guardado para detetar estouros de pilha antes que sequestrem o fluxo.
CAPTCHATeste de desafio-resposta concebido para distinguir humanos de bots automatizados, normalmente usado em endpoints de registo, login e envio de formulários.
Capture the Flag (CTF)Competição de cibersegurança em que equipas resolvem desafios para obter tokens ocultos, usada para formação, recrutamento e construção de comunidade.
Caso de abusoArtefato de requisitos que descreve como um agente malicioso tentaria deliberadamente fazer mau uso de um sistema para prejudicar usuários, dados ou o negócio.
Caso de mau usoCaso de uso negativo que descreve interações que o sistema deve impedir, modelado junto aos casos de uso legítimos para análise conjunta.
Ciclo de vida seguro de desenvolvimento (SSDLC)Ciclo de desenvolvimento em que as atividades de segurança são incorporadas em cada fase, dos requisitos e design ao código, testes, release e operação.
Codificação de saídaTransformação de dados não confiáveis em uma forma segura para um contexto de saída específico (HTML, JavaScript, URL, SQL, shell) para que não escapem e sejam executados como código.
Codificação seguraPrática de escrever código-fonte minimizando defeitos de segurança, seguindo padrões defensivos, regras específicas da linguagem e diretrizes reconhecidas.
Consulta parametrizadaConsulta de banco de dados cujos valores são enviados separadamente do texto SQL via marcadores, impedindo que a entrada do usuário altere a estrutura da consulta.
Conteudo mistoSituacao em que uma pagina HTTPS carrega sub-recursos (scripts, estilos, imagens, XHR) por HTTP simples, enfraquecendo as garantias de seguranca.
Cookie SameSiteAtributo de cookie que controla se o navegador o envia em requisições entre sites, com valores Strict, Lax e None, usado sobretudo para mitigar CSRF.
CORS (Compartilhamento de Recursos entre Origens)Mecanismo aplicado pelo navegador que permite ao servidor relaxar seletivamente a política de mesma origem para que JavaScript de uma origem possa ler respostas de outra.
CosignCLI open source do projeto Sigstore para assinar, verificar e atestar artefactos OCI e outros softwares, em modo com ou sem chaves de longa duração.
Cryptographic Bill of Materials (CBOM)Inventário de todos os ativos criptográficos usados por software ou sistemas - algoritmos, tamanhos de chave, certificados, bibliotecas e protocolos - para apoiar agilidade criptográfica e prontidão pós-quântica.
DAST (Dynamic Application Security Testing)Testes de segurança caixa-preta que interagem com a aplicação em execução pela rede para descobrir vulnerabilidades visíveis apenas em tempo de execução.
DEPA prevencao de execucao de dados (DEP / NX / W^X) marca paginas de memoria como nao executaveis para impedir que um atacante execute shellcode injetado em pilha ou heap.
DevSecOpsCultura e conjunto de práticas que integra responsabilidades de segurança aos fluxos DevOps para entregar software seguro de forma contínua e ágil.
Execução simbólicaTécnica de análise de programas que executa o código com entradas simbólicas em vez de valores concretos, criando restrições de caminho resolvidas por um solver SMT.
Exploit em PDFDocumento PDF malicioso que abusa de bugs do parser, JavaScript embutido, fontes ou ações externas num leitor de PDF para alcançar execução de código ou exfiltração de dados.
Extensão de Navegador MaliciosaAdd-on de navegador que abusa das suas permissões para roubar credenciais, sequestrar sessões, injetar anúncios ou exfiltrar dados, muitas vezes através de atualizações comprometidas de extensões legítimas.
Fixação de sessãoAtaque em que o adversário implanta um identificador de sessão conhecido no navegador da vítima antes do login, para que continue válido para ele após a autenticação.
Flag de cookie HttpOnlyAtributo de cookie que o esconde do JavaScript ao proibir o acesso via 'document.cookie', limitando o roubo de sessão quando há XSS.
Flag de cookie SecureAtributo de cookie que diz ao navegador para enviá-lo apenas sobre HTTPS, evitando que trafegue em claro pela rede.
Formato binario ELFExecutable and Linkable Format, o contentor binario padrao para executaveis, ficheiros objeto e bibliotecas partilhadas em Linux, BSD e na maioria dos derivados de System V Unix.
Formato executavel PEPortable Executable, o formato binario do Windows usado por ficheiros .exe, .dll, .sys e .ocx, derivado do antigo formato de objetos COFF.
Fuzz testingTécnica de testes automatizados que submete um programa a grandes volumes de entradas malformadas, aleatórias ou inesperadas para revelar crashes, corrupção de memória e vulnerabilidades.
Fuzzing guiado por coberturaTécnica de fuzzing que instrumenta o alvo para medir cobertura de código e evolui entradas que exploram caminhos novos, aumentando muito a eficácia.
Fuzzing por mutaçãoEstratégia de fuzzing que cria novas entradas de teste mutando aleatoriamente amostras válidas — bit flips, inserção de bytes, splice de arquivos.
IAST (Interactive Application Security Testing)Teste de segurança que instrumenta a aplicação em execução por dentro para observar o código em tempo real enquanto é exercitado por tráfego ou testes.
in-totoFramework aberto que atesta criptograficamente cada passo de uma cadeia de fornecimento de software, permitindo aos consumidores verificar que o artefacto foi construído e manuseado exatamente como o dono do projeto pretendia.
Integridade de Sub-recursos (SRI)Mecanismo do navegador que verifica um hash criptográfico de um script ou folha de estilos carregado de terceiro antes de executá-lo, impedindo arquivos adulterados.
Integridade do fluxo de controloA integridade do fluxo de controlo (CFI) restringe chamadas indiretas e retornos a um conjunto pre-calculado de destinos legitimos, bloqueando ROP e JOP.
Intel CETIntel CET (Control-flow Enforcement Technology) e uma funcionalidade da CPU que combina shadow stack por hardware e Indirect Branch Tracking (IBT) para bloquear ROP, JOP e COP.
Isolamento de SitesArquitetura de segurança do Chromium que coloca documentos de sites diferentes em processos separados do sistema operativo, impedindo que um renderer comprometido leia dados de outros sites.
JIT SprayTécnica de exploração que abusa dos compiladores JIT para colocar bytes executáveis escolhidos pelo atacante dentro de páginas de memória legitimamente geradas como executáveis.
KASLRO KASLR aleatoriza a base do kernel e o endereco de carga dos modulos a cada boot, impedindo que atacantes usem simbolos fixos do kernel em escaladas locais de privilegios.
Linguagens com seguranca de memoriaLinguagens com seguranca de memoria como Rust, Go, Swift, Java e C# impedem os erros espaciais e temporais de memoria que originam a maioria das vulnerabilidades exploraveis em C e C++.
Mach-OMach-O e o formato nativo de executaveis, objetos e bibliotecas partilhadas usado por macOS, iOS, watchOS e tvOS para binarios produzidos pela toolchain da Apple.
MIME SniffingComportamento do navegador de adivinhar o tipo de conteudo de uma resposta a partir dos seus bytes, explorado para executar ficheiros carregados como scripts.
Modelagem de ameaçasAnálise estruturada que identifica os ativos, ameaças, vulnerabilidades e mitigações de um sistema para integrar a segurança desde o desenho.
Navegador headlessNavegador web executado sem interface grafica e controlado por codigo, usado em testes, scraping e automacao de seguranca.
Pinning de dependênciasPrática de declarar as dependências de software em versões exatas, frequentemente acompanhadas de hashes criptográficos, para que as builds consumam sempre os mesmos artefactos e resistam à manipulação da cadeia de fornecimento.
Politica de mesma origem (SOP)Regra de seguranca do navegador que restringe como um documento ou script carregado de uma origem pode interagir com recursos de outra origem.
Politica de referenciador (Referrer Policy)Cabecalho HTTP (ou meta tag) que controla quanta informacao do URL de origem o navegador envia no cabecalho Referer das requisicoes de saida.
Política de Segurança de Conteúdo (CSP)Cabeçalho HTTP que informa ao navegador quais origens de scripts, estilos, frames e outros conteúdos são permitidas, limitando o impacto de XSS e injeções de dados.
Propriedades de seguranca do RustO Rust impoe seguranca de memoria e de threads em tempo de compilacao via ownership, borrowing e lifetimes, eliminando UAF e data races sem garbage collector.
RASP (Runtime Application Self-Protection)Defesa embutida dentro de uma aplicação em execução que monitora o contexto de execução e bloqueia, em tempo real, comportamentos maliciosos como injeção ou desserialização insegura.
Requisitos de segurançaDeclarações explícitas e testáveis do que um sistema deve e não deve fazer para proteger confidencialidade, integridade, disponibilidade e privacidade.
Return-Oriented ProgrammingROP e uma tecnica de exploracao por reuso de codigo que encadeia pequenas sequencias de instrucoes terminadas em RET para executar computacao arbitraria sem injetar codigo.
robots.txtFicheiro de texto na raiz do site que informa os crawlers bem-comportados sobre que caminhos podem ou nao ir buscar, formalizado pelo RFC 9309 do IETF.
Sandbox do NavegadorCamada de isolamento ao nível do sistema operativo que confina o renderer e processos auxiliares do navegador para que código web comprometido não aceda ao sistema de ficheiros nem a outras aplicações.
SAST (Static Application Security Testing)Análise automatizada de código-fonte, bytecode ou binários — sem executar — para encontrar fraquezas de segurança como injeção, APIs inseguras ou criptografia fraca.
SCA (Software Composition Analysis)Análise automatizada dos componentes open source e de terceiros da aplicação para identificar vulnerabilidades conhecidas, problemas de licença e dependências desatualizadas ou arriscadas.
Segredos hardcoded no códigoInclusão de credenciais, chaves de API, tokens ou material criptográfico diretamente no código-fonte, ficheiros de configuração ou imagens de contentor, onde são facilmente descobertos e abusados.
Segurança da cadeia de fornecimento de softwareDisciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
Segurança de APIDisciplina de projetar, construir e operar APIs para que autenticação, autorização, exposição de dados e resistência a abusos se mantenham sob ataque.
Segurança de aplicações (AppSec)A disciplina de projetar, construir, testar e operar software para que resista a abusos, adulteração e acessos não autorizados ao longo de todo o seu ciclo de vida.
Segurança de CI/CDConjunto de controlos que protegem os pipelines de integração e entrega contínuas contra comprometimento, injeção de código, fuga de segredos e deploys não autorizados.
Seguranca de memoriaA seguranca de memoria e a propriedade de um programa nunca ler, escrever ou executar memoria que nao tenha alocado legitimamente, eliminando classes inteiras de vulnerabilidades.
Seguranca do PlaywrightConsideracoes de seguranca para o Playwright, framework de automacao multi-navegador da Microsoft que pilota Chromium, Firefox e WebKit com contextos isolados.
Seguranca do PuppeteerConsideracoes de seguranca para o Puppeteer, biblioteca Node.js da Google que pilota Chrome e Chromium pelo DevTools Protocol para automacao e testes.
Segurança GitOpsPráticas de segurança para fluxos GitOps em que o estado desejado declarativo da infraestrutura e aplicações é guardado em Git e reconciliado em produção por um controlador automatizado.
Shadow stackUma shadow stack e uma pilha separada e protegida que guarda copias dos enderecos de retorno para o processador detetar manipulacoes na pilha normal e bloquear ROP.
Shift-Left SecurityPrática de antecipar as atividades de segurança no ciclo de vida do software para encontrar e corrigir vulnerabilidades antes que o código chegue à produção.
SigstoreProjeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
SLSA FrameworkSupply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado pelo OpenSSF que endurece progressivamente a forma como o software é construído, assinado e verificado contra manipulação da cadeia de fornecimento.
SMEP / SMAPSMEP e SMAP sao funcionalidades da CPU que impedem o kernel de executar ou aceder a paginas do espaco do utilizador, bloqueando tecnicas comuns de escalada local de privilegios.
Software Bill of Materials (SBOM)Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações.
Spoofing de User-AgentFalsificacao do cabecalho User-Agent ou dos Client Hints associados para que um pedido pareca vir de um navegador, dispositivo ou sistema operativo diferente do real.
Trusted TypesAPI do navegador e diretiva CSP que evita XSS baseado em DOM exigindo que sinks perigosos recebam valores tipados, validados por politica, em vez de strings cruas.
Validação de entradaVerificação no servidor que confirma se toda entrada não confiável corresponde ao tipo, comprimento, intervalo, formato e conjunto de valores esperados antes do processamento.
Vulnerabilidade de Confusão de TipoBug de segurança de memória em que o código acede a um objeto usando um tipo incompatível com a sua alocação real, permitindo leitura, escrita ou execução arbitrárias.
Vulnerabilidades em JWTClasses de falhas de implementacao na validacao de JSON Web Tokens que permitem forjar tokens, escalar privilegios ou contornar a autenticacao.