PT | EN

Sobre

// quem escreve · o que pesquisa · onde encontrar

Web AppSec Engineer mascot

Web AppSec Engineer

Engenheiro de segurança de aplicações web.
Pesquisador e explorador de falhas de forma controlada e didática.

Offensive Security Identity Security Secure SDLC Bug Hunter
🕵️

A Proposta do Blog

Este blog nasceu de uma necessidade simples: documentar o que vale a pena lembrar. Segurança de aplicações web é uma disciplina vasta e em constante movimento. Vulnerabilidades evoluem, frameworks mudam, superfícies de ataque se expandem — e o conhecimento acumulado sem registro se perde.

Aqui você vai encontrar anotações técnicas reais, laboratórios reproduzíveis, análises de CVEs, write-ups de CTFs e reflexões sobre desenvolvimento seguro. Nada de conteúdo genérico gerado para volume. Cada post existe porque foi útil o suficiente para merecer estar escrito.

A estética egípcia não é decoração aleatória — é uma metáfora deliberada. Os escribas egípcios foram os primeiros engenheiros do conhecimento estruturado. Cada hieróglifo era um protocolo. Cada papiro, documentação de um sistema. A ideia é a mesma: construir com precisão, registrar com rigor.

Áreas de Pesquisa

🕷️

Vulnerabilidades Web

XSS, SQLi, SSRF, XXE, IDOR, deserialization, race conditions e tudo que o OWASP Top 10 não consegue capturar completamente.

🔐

Autenticação & Autorização

OAuth 2.0, JWT, OIDC, controle de acesso quebrado, privilege escalation e falhas em fluxos de identidade que abrem portas para atacantes.

🛡️

Desenvolvimento Seguro

SAST, DAST, threat modeling, code review com foco em segurança e integração de práticas seguras no ciclo de desenvolvimento.

⚙️

DevSecOps

Segurança desde o início: hardening de pipelines CI/CD, gestão de secrets, segurança de containers e integração de scanning automatizado no ciclo de entrega de software.

Filosofia

"Segurança não é um produto, mas um processo." — Bruce Schneier

Segurança não é uma caixa para marcar ou um relatório para entregar. É uma disciplina de engenharia contínua — que exige compreensão profunda do atacante, do sistema e do contexto em que opera.

O melhor defensor entende como atacar. O melhor pesquisador sabe como construir. Este blog existe nessa interseção: ofensivo o suficiente para entender a ameaça, defensivo o suficiente para neutralizá-la.

Contato

Sugestões de post, correções técnicas, discussões sobre vulnerabilidades ou colaborações em pesquisa são bem-vindas.

GitHub @web-appsec-engineer YouTube @appsec_eng E-mail [email protected]