lucasfdigital/vulnerability-scanner

Scanner de Vulnerabilidades

Pense como um atacante, defenda como um especialista. Consciência do cenário de ameaças de 2025.

---

🔧 Scripts de Runtime

Execute para validação automatizada:

| Script | Propósito | Uso | | :--- | :--- | :--- | | scripts/security_scan.py | Validar os princípios de segurança aplicados | python scripts/security_scan.py <caminho_do_projeto> |

📋 Arquivos de Referência

| Arquivo | Propósito | | :--- | :--- | | checklists.md | Checklists do OWASP Top 10, Autenticação, API e Proteção de Dados |

---

1. Mentalidade de Especialista em Segurança

Princípios Centrais

| Princípio | Aplicação | | :--- | :--- | | Assume Breach (Assuma a Invasão) | Projete como se o atacante já estivesse dentro | | Zero Trust (Confiança Zero) | Nunca confie, sempre verifique | | Defesa em Profundidade | Múltiplas camadas, sem ponto único de falha | | Privilégio Mínimo | Apenas o acesso mínimo necessário | | Fail Secure | Em caso de erro, negue o acesso |

Perguntas de Modelagem de Ameaças

Antes de escanear, pergunte:

1. O que estamos protegendo? (Ativos/Assets)
2. Quem atacaria? (Atores de ameaça)
3. Como eles atacariam? (Vetores de ataque)
4. Qual é o impacto? (Risco de negócio)

---

2. OWASP Top 10:2025

Categorias de Risco

| Rank | Categoria | Pense Sobre | | :--- | :--- | :--- | | A01 | Quebra de Controle de Acesso | Quem pode acessar o quê? IDOR, SSRF | | A02 | Configuração Incorreta de Segurança| Padrões, headers, serviços expostos | | A03 | Cadeia de Suprimentos de Software 🆕| Dependências, CI/CD, integridade do build | | A04 | Falhas Criptográficas | Cripto fraca, segredos expostos | | A05 | Injeção | Entrada do usuário → comandos do sistema | | A06 | Design Inseguro | Arquitetura falha | | A07 | Falhas de Autenticação | Gerenciamento de sessão e credenciais | | A08 | Falhas de Integridade | Atualizações não assinadas, dados adulterados| | A09 | Logging e Alerta | Pontos cegos, falta de monitoramento | | A10 | Condições Excepcionais 🆕 | Tratamento de erro, estados fail-open |

Mudanças Chave em 2025

Mudanças de 2021 → 2025:
├── SSRF mesclado ao A01 (Controle de Acesso)
├── A02 elevado (Configurações de Nuvem/Container)
├── A03 NOVO: Cadeia de Suprimentos (foco principal)
├── A10 NOVO: Condições Excepcionais
└── Mudança de foco: Causas Raiz > Sintomas

---

3. Segurança da Cadeia de Suprimentos (A03)

Superfície de Ataque

| Vetor | Risco | Pergunta a Fazer | | :--- | :--- | :--- | | Dependências | Pacotes maliciosos | Auditamos novas dependências? | | Lock files | Ataques de integridade | Eles estão no repositório? | | Pipeline de build| Compromisso do CI/CD | Quem pode modificar? | | Registro (Registry)| Typosquatting | Fontes verificadas? |

Princípios de Defesa

• Verifique a integridade do pacote (checksums).
• Fixe (pin) as versões, audite as atualizações.
• Use registros privados para dependências críticas.
• Assine e verifique os artefatos.

---

4. Mapeamento da Superfície de Ataque

O que Mapear

| Categoria | Elementos | | :--- | :--- | | Pontos de Entrada | APIs, formulários, uploads de arquivos | | Fluxos de Dados | Entrada → Processo → Saída | | Limites de Confiança| Onde Autenticação/Autorização são checadas| | Ativos (Assets) | Segredos, PII (Dados Pessoais), dados de negócio|

Matriz de Priorização

Risco = Probabilidade × Impacto

Alto Impacto + Alta Probabilidade → CRÍTICO
Alto Impacto + Baixa Probabilidade → ALTO
Baixo Impacto + Alta Probabilidade → MÉDIO
Baixo Impacto + Baixa Probabilidade → BAIXO

---

5. Priorização de Risco

CVSS + Contexto

| Fator | Peso | Pergunta | | :--- | :--- | :--- | | Score CVSS | Gravidade base | Quão grave é a vulnerabilidade? | | Score EPSS | Probabilidade de exploit | Está sendo explorada no mundo real? | | Valor do Ativo | Contexto de negócio | O que está em risco? | | Exposição | Superfície de ataque | Exposto à Internet? |

Árvore de Decisão de Priorização

Está sendo explorada ativamente (EPSS >0.5)?
├── SIM → CRÍTICO: Ação imediata
└── NÃO → Verifique o CVSS
         ├── CVSS ≥9.0 → ALTO
         ├── CVSS 7.0-8.9 → Considere o valor do ativo
         └── CVSS <7.0 → Agendar para depois

---

6. Condições Excepcionais (A10 - Novo)

Fail-Open vs Fail-Closed

| Cenário | Fail-Open (RUIM) | Fail-Closed (BOM) | | :--- | :--- | :--- | | Erro de Autenticação | Permite o acesso | Nega o acesso | | Falha no parsing | Aceita a entrada | Rejeita a entrada | | Timeout | Tenta para sempre | Limita + aborta |

O que verificar

• Handlers de exceção que capturam tudo (catch-all) e ignoram.
• Falta de tratamento de erro em operações de segurança.
• Condições de corrida (race conditions) em Autenticação/Autorização.
• Cenários de exaustão de recursos.

---

7. Metodologia de Escaneamento

Abordagem Baseada em Fases

1. RECONHECIMENTO
   └── Entender o alvo
       ├── Stack de tecnologia
       ├── Pontos de entrada
       ├── Fluxos de dados

2. DESCOBERTA
   └── Identificar problemas potenciais
       ├── Revisão de configuração
       ├── Análise de dependências
       ├── Busca por padrões de código

3. ANÁLISE
   └── Validar e priorizar
       ├── Eliminação de falsos positivos
       ├── Pontuação de risco
       ├── Mapeamento da cadeia de ataque

4. RELATÓRIO
   └── Descobertas acionáveis
       ├── Passos claros para reprodução
       ├── Impacto de negócio
       ├── Guia para remediação

---

8. Análise de Padrões de Código

Padrões de Alto Risco

| Padrão | Risco | O que procurar | | :--- | :--- | :--- | | Concatenação de strings em queries| Injeção | "SELECT * FROM " + entrada_usuario | | Execução de código dinâmico | RCE | eval(), exec(), Function() | | Desserialização insegura | RCE | pickle.loads(), unserialize() | | Manipulação de caminho (path) | Traversal | Entrada do usuário em caminhos de arquivo | | Segurança desativada | Vários | verify=False, --insecure |

Padrões de Segredos (Secrets)

| Tipo | Indicadores | | :--- | :--- | | API Keys | api_key, apikey, alta entropia | | Tokens | token, bearer, jwt | | Credenciais | password, secret, key | | Nuvem (Cloud) | Prefixos AWS_, AZURE_, GCP_ |

---

9. Considerações de Segurança em Nuvem (Cloud)

Responsabilidade Compartilhada

| Camada | Você é Dono | Provedor é Dono | | :--- | :--- | :--- | | Dados | ✅ | ❌ | | Aplicação | ✅ | ❌ | | SO/Runtime | Depende | Depende | | Infraestrutura | ❌ | ✅ |

---

10. Anti-Padrões

| ❌ NÃO Faça | ✅ Faça | | :--- | :--- | | Escanear sem entender | Mapeie a superfície de ataque primeiro | | Alerta para cada CVE | Priorize por explorabilidade + ativo | | Ignorar falsos positivos | Mantenha uma base verificada | | Corrigir apenas sintomas | Aborde as causas raiz | | Escanear uma vez antes do deploy | Escaneamento contínuo | | Confiar cegamente em terceiros | Verifique a integridade, audite o código |

---

11. Princípios de Relatórios

Estrutura da Descoberta

Cada descoberta deve responder:

1. O quê? - Descrição clara da vulnerabilidade.
2. Onde? - Localização exata (arquivo, linha, endpoint).
3. Por quê? - Explicação da causa raiz.
4. Impacto? - Consequência para o negócio.
5. Como corrigir? - Remediação específica.

Classificação de Gravidade

| Gravidade | Critérios | | :--- | :--- | | Crítica | RCE, bypass de autenticação, vazamento massivo de dados | | Alta | Vazamento de dados, escalada de privilégios | | Média | Escopo limitado, requer condições específicas | | Baixa | Informativa, melhor prática |

---

Lembre-se: O escaneamento de vulnerabilidades encontra os problemas. O pensamento especialista prioriza o que importa. Sempre pergunte: "O que um atacante faria com isso?"