Aprenda Segurança em Aplicações Web de um jeito diferente imersivo e mais prático.

Nível 1 – O Aprendiz da Segurança (Fundamentos e conceitos básicos)

📌 Objetivo: Entender os conceitos fundamentais de segurança e como aplicá-los no desenvolvimento.

  • ✅ Princípios de Segurança em Software (Least Privilege, Defense in Depth, Fail Secure)
  • ✅ OWASP Top 10 (As 10 vulnerabilidades mais críticas)
  • ✅ Criptografia básica (AES, RSA, Hashing, Salting, PBKDF2, Argon2)
  • ✅ Modelos de autenticação e autorização (JWT, OAuth2, SAML)
  • ✅ Segurança no protocolo HTTP (TLS, CORS, CSRF, SameSite Cookies, HSTS)

📚 Recursos:

OWASP Top 10: https://owasp.org/www-project-top-ten/
Livro: Web Security for Developers (Malcolm McDonald)
Curso: Web Security Fundamentals (Pluralsight)

Nível 2 – O Guerreiro da Defesa (Secure Coding e boas práticas)

📌 Objetivo: Aprender a desenvolver aplicações resistentes a ataques.

  • ✅ Sanitização e validação de entrada (XSS, SQL Injection, NoSQL Injection, SSTI)
  • ✅ Proteção contra ataques de injeção (SQLi, Command Injection, XML Injection)
  • ✅ Proteção contra quebras de autenticação (Brute-force, MFA, Rate Limiting)
  • ✅ Gerenciamento seguro de sessões e tokens
  • ✅ Evitar vazamento de dados sensíveis (Secrets, API Keys, Logs)

📚 Recursos:

Curso: Secure Coding Practices for Developers (Udemy)
OWASP Secure Coding Guide: https://cheatsheetseries.owasp.org/
OWASP Security Shepherd (Treinamento prático): https://owasp.org/www-project-security-shepherd/

Nível 3 – O Caçador de Vulnerabilidades (Testes e exploração de falhas)

📌 Objetivo: Aprender a testar e corrigir vulnerabilidades em aplicações web.

  • ✅ Testes manuais e automatizados (Burp Suite, OWASP ZAP, Postman Security Testing)
  • ✅ Testes de Injeção (SQLi, XSS, NoSQLi)
  • ✅ Testes de autenticação e autorização (IDOR, CSRF, JWT Attacks)
  • ✅ Exploração de falhas em APIs REST e GraphQL
  • ✅ Análise de segurança em código-fonte (SAST, DAST)

📚 Recursos:

Curso: Pentesting Web Applications (Pluralsight)
Ferramentas: Burp Suite, OWASP ZAP, SQLMap, Postman
Plataforma de prática: PortSwigger Web Security Academy

Nível 4 – O Guardião das Aplicações (DevSecOps e segurança em CI/CD)

📌 Objetivo: Integrar segurança no ciclo de desenvolvimento de software.

  • ✅ Introdução a DevSecOps e Pipelines Seguros
  • ✅ Ferramentas de análise estática (SAST): SonarQube, Semgrep, Checkmarx
  • ✅ Análise dinâmica de segurança (DAST): OWASP ZAP, Nikto
  • ✅ Gerenciamento de dependências seguras: OWASP Dependency-Check, Snyk
  • ✅ Segurança em containers e infraestrutura (Docker, Kubernetes, IaC)

📚 Recursos:

Curso: DevSecOps Fundamentals (Pluralsight)
Livro: Container Security – Liz Rice
OWASP Dependency Check: https://owasp.org/www-project-dependency-check/

Nível 5 – O Mestre das APIs (Proteção avançada de APIs)

📌 Objetivo: Focar na proteção de APIs e arquiteturas modernas.

  • ✅ OWASP API Security Top 10 (Principais vulnerabilidades em APIs)
  • ✅ Proteção contra ataques a GraphQL e WebSockets
  • ✅ Autenticação segura em APIs (OAuth2, OpenID Connect)
  • ✅ Rate Limiting, API Gateway e proteção contra abuso
  • ✅ Criação de APIs seguras com boas práticas (CORS, JWT, Logging)

📚 Recursos:

OWASP API Security Top 10: https://owasp.org/www-project-api-security/
Curso: Secure REST APIs (Udemy)
Plataforma de prática: TryHackMe - API Security Room

Nível 6 – O Arquiteto das Sombras (Aplicação prática e certificações)

📌 Objetivo: Consolidar os conhecimentos e se preparar para o mercado.

  • ✅ Criar um projeto seguro do zero (backend e frontend)
  • ✅ Fazer um relatório de análise de segurança em um projeto real
  • ✅ Estudar e se preparar para certificações de segurança
  • ✅ Participar de Bug Bounties (HackerOne, Bugcrowd, Open Bug Bounty)
  • ✅ Simular ataques controlados (Pentest interno, CTFs, Hack The Box)

📚 Certificações recomendadas:

eWPT (eLearnSecurity Web Penetration Tester)
GWEB (GIAC Web Application Defender)
OSWE (Offensive Security Web Expert - Avançado)

Aviso Importante: O curso ainda está em desenvolvimento para garantir a melhor qualidade possível.