Este repositório contém o relatório do teste de penetração realizado na aplicação de treinamento do OWASP: Juice Shop, com o objetivo de aplicar na prática os conhecimentos adquiridos na plataforma Alura durante o Bootcamp em Segurança da Informação. No relatório, são identificadas e documentadas vulnerabilidades de segurança, além de serem sugeridas correções apropriadas. Também são apresentadas descrições gerais do projeto, incluindo o escopo dos desafios, limitações e ferramentas utilizadas durante o teste.
Neste projeto, será realizado um teste de penetração na aplicação web Juice Shop (https://owasp.org/www-project-juice-shop/), com o objetivo de resolver alguns dos desafios propostos, identificar vulnerabilidades e sugerir medidas corretivas.
- Desafios disponíveis na página Score Board
- Desafios indisponíveis no Docker devido a questões de segurança ou incompatibilidade técnica
Para executar a aplicação e realizar os testes, utilize a imagem oficial do site. No caso deste projeto, foi utilizado um container do Docker. Para reproduzir, siga os seguintes passos.
-
Instale o Docker.
-
Execute:
docker pull bkimminich/juice-shop
docker run --rm -p 3000:3000 bkimminich/juice-shop
- Navegue para:
http://localhost:3000/#/
- Acesse a página do Score Board, caso queira conhecer os desafios.
Cada categoria contém uma vulnerabilidade e seus respectivos desafios, juntamente com instruções para solucioná-los e recomendações de correção. Acesse-as através dos links abaixo.
- XSS
- Exposição de Dados Sensíveis
- Validação Imprópria de Input
- SQL Injection
- Controle de Acesso
- Redirecionamento Não Validado
- Componentes Vulneráveis
- Autenticação Danificada
- Segurança por Obscurantismo
- Anti-automação Danificada
- Configuração Incorreta de Segurança
- Problemas Criptográficos
