In [None]:
# -*- coding: utf-8 -*-
"""
Cap√≠tulo 1: Introdu√ß√£o √† Seguran√ßa de Aplica√ß√µes Web
Curso: Cyber Security - Ana Rovina

Exemplos pr√°ticos de conceitos b√°sicos de seguran√ßa web.
ATEN√á√ÉO: C√≥digo educacional - demonstra vulnerabilidades e corre√ß√µes
"""

import sys
import io

# Configura√ß√£o UTF-8 para Windows
sys.stdout = io.TextIOWrapper(sys.stdout.buffer, encoding='utf-8')

print("=" * 70)
print("CAP√çTULO 1: INTRODU√á√ÉO √Ä SEGURAN√áA DE APLICA√á√ïES WEB")
print("=" * 70)
print("\nPor: Ana Rovina")
print("Curso: Cyber Security - Da Designer √† Security-Minded Developer")
print("=" * 70)

# ==================== CONCEITOS B√ÅSICOS ====================

print("\n\n### OS TR√äS PILARES DA SEGURAN√áA ###\n")

# 1. Confidencialidade
print("1. CONFIDENCIALIDADE üîí")
print("   Garantir que apenas pessoas autorizadas acessem informa√ß√µes sens√≠veis")
print("   Exemplo: Criptografia de dados, controle de acesso")

# 2. Integridade
print("\n2. INTEGRIDADE ‚úì")
print("   Assegurar que os dados n√£o sejam alterados sem autoriza√ß√£o")
print("   Exemplo: Hashing, assinaturas digitais")

# 3. Disponibilidade
print("\n3. DISPONIBILIDADE ‚ö°")
print("   Manter o sistema acess√≠vel quando necess√°rio")
print("   Exemplo: Redund√¢ncia, DDoS protection")

# ==================== OWASP TOP 10 (2025) ====================

print("\n\n### OWASP TOP 10 - 2025 ###\n")

owasp_top_10 = [
    ("1", "Broken Access Control", "Controle de Acesso Quebrado"),
    ("2", "Cryptographic Failures", "Falhas Criptogr√°ficas"),
    ("3", "Injection", "Inje√ß√£o"),
    ("4", "Insecure Design", "Design Inseguro"),
    ("5", "Security Misconfiguration", "Configura√ß√£o Incorreta de Seguran√ßa"),
    ("6", "Vulnerable and Outdated Components", "Componentes Vulner√°veis e Desatualizados"),
    ("7", "Identification and Authentication Failures", "Falhas de Identifica√ß√£o e Autentica√ß√£o"),
    ("8", "Software and Data Integrity Failures", "Falhas de Integridade de Software e Dados"),
    ("9", "Security Logging and Monitoring Failures", "Falhas de Log e Monitoramento"),
    ("10", "Server-Side Request Forgery (SSRF)", "Falsifica√ß√£o de Solicita√ß√£o do Lado do Servidor")
]

for rank, nome_en, nome_pt in owasp_top_10:
    print(f"   {rank}. {nome_en} ({nome_pt})")

# ==================== EXEMPLO PR√ÅTICO: VALIDA√á√ÉO DE INPUT ====================

print("\n\n### EXEMPLO PR√ÅTICO: VALIDA√á√ÉO DE INPUT ###\n")

def validar_email_inseguro(email):
    """
    ‚ùå VULNER√ÅVEL: Valida√ß√£o muito simples
    """
    return "@" in email

def validar_email_seguro(email):
    """
    ‚úÖ SEGURO: Valida√ß√£o adequada
    """
    import re
    pattern = r'^[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}$'
    return re.match(pattern, email) is not None

# Testes
emails_teste = [
    "ana@exemplo.com",
    "usuario@dominio",
    "@exemplo.com",
    "usuario@@dominio.com",
    "ana.rovina@empresa.com.br"
]

print("VALIDA√á√ÉO INSEGURA ‚ùå:")
for email in emails_teste:
    resultado = validar_email_inseguro(email)
    status = "‚úì V√°lido" if resultado else "‚úó Inv√°lido"
    print(f"   {email:30} -> {status}")

print("\nVALIDA√á√ÉO SEGURA ‚úÖ:")
for email in emails_teste:
    resultado = validar_email_seguro(email)
    status = "‚úì V√°lido" if resultado else "‚úó Inv√°lido"
    print(f"   {email:30} -> {status}")

# ==================== CHECKLIST B√ÅSICO ====================

print("\n\n### CHECKLIST R√ÅPIDO DE SEGURAN√áA ###\n")

checklist = [
    "Validei todas as entradas do usu√°rio?",
    "Sanitizei as sa√≠das de dados?",
    "Implementei autentica√ß√£o adequada?",
    "Configurei permiss√µes corretas?",
    "Os dados sens√≠veis est√£o criptografados?",
    "Tenho logs de seguran√ßa?",
    "As depend√™ncias est√£o atualizadas?"
]

for i, item in enumerate(checklist, 1):
    print(f"   [ ] {i}. {item}")

# ==================== FERRAMENTAS ESSENCIAIS ====================

print("\n\n### FERRAMENTAS ESSENCIAIS ###\n")

ferramentas = {
    "An√°lise de Vulnerabilidades": [
        "OWASP ZAP - Scanner autom√°tico",
        "Burp Suite - Testes de penetra√ß√£o",
        "npm audit/yarn audit - Depend√™ncias"
    ],
    "Desenvolvimento Seguro": [
        "ESLint com plugins de seguran√ßa",
        "Bandit (Python) - An√°lise est√°tica",
        "Safety - Verifica√ß√£o de depend√™ncias Python"
    ],
    "Monitoramento": [
        "Sentry - Rastreamento de erros",
        "Cloudflare - WAF",
        "AWS GuardDuty - Detec√ß√£o de amea√ßas"
    ]
}

for categoria, tools in ferramentas.items():
    print(f"\n{categoria}:")
    for tool in tools:
        print(f"   ‚Ä¢ {tool}")

# ==================== EXEMPLO: VERIFICA√á√ÉO DE SEGURAN√áA B√ÅSICA ====================

print("\n\n### EXEMPLO: AN√ÅLISE B√ÅSICA DE C√ìDIGO ###\n")

def analisar_codigo_seguranca(codigo):
    """
    An√°lise b√°sica de c√≥digo para identificar poss√≠veis problemas
    """
    problemas = []

    # Verifica√ß√µes simples
    if "eval(" in codigo:
        problemas.append("‚ö†Ô∏è  CR√çTICO: Uso de eval() detectado (permite execu√ß√£o de c√≥digo arbitr√°rio)")

    if "password" in codigo.lower() and "=" in codigo:
        problemas.append("‚ö†Ô∏è  ALERTA: Poss√≠vel senha hardcoded no c√≥digo")

    if "SELECT *" in codigo.upper() and "+" in codigo:
        problemas.append("‚ö†Ô∏è  CR√çTICO: Poss√≠vel SQL Injection (concatena√ß√£o de string em SQL)")

    if ".innerHTML" in codigo and "user" in codigo.lower():
        problemas.append("‚ö†Ô∏è  ALERTA: Poss√≠vel XSS (uso de innerHTML com dados de usu√°rio)")

    return problemas

# Exemplos de c√≥digo vulner√°vel
codigos_exemplo = [
    'user_input = input("Enter code: ")\neval(user_input)  # PERIGO!',
    'password = "senha123"  # Hardcoded password',
    'query = "SELECT * FROM users WHERE id = " + user_id',
    'element.innerHTML = user_data'
]

print("AN√ÅLISE DE C√ìDIGO:\n")
for i, codigo in enumerate(codigos_exemplo, 1):
    print(f"Exemplo {i}:")
    print(f"   C√≥digo: {codigo.split(chr(10))[0]}...")
    problemas = analisar_codigo_seguranca(codigo)
    if problemas:
        for problema in problemas:
            print(f"   {problema}")
    else:
        print("   ‚úì Nenhum problema detectado")
    print()

# ==================== ESTAT√çSTICAS DE SEGURAN√áA ====================

print("\n### ESTAT√çSTICAS DE SEGURAN√áA (2026) ###\n")

estatisticas = {
    "Frequ√™ncia de ataques": "Aplica√ß√µes web s√£o atacadas a cada 39 segundos",
    "Vulnerabilidades": "94% das aplica√ß√µes t√™m pelo menos uma vulnerabilidade",
    "Custo m√©dio de viola√ß√£o": "US$ 4.5 milh√µes por incidente",
    "Tempo m√©dio de detec√ß√£o": "207 dias para detectar uma viola√ß√£o",
    "Tempo de conten√ß√£o": "73 dias para conter uma viola√ß√£o"
}

for metrica, valor in estatisticas.items():
    print(f"   ‚Ä¢ {metrica}: {valor}")

# ==================== PR√ìXIMOS PASSOS ====================

print("\n\n### PR√ìXIMOS PASSOS ###\n")

print("""
Nos pr√≥ximos cap√≠tulos, voc√™ aprender√°:

   Cap√≠tulo 2: SQL Injection - Como atacantes manipulam seu banco de dados
   Cap√≠tulo 3: XSS - Scripts maliciosos na sua interface linda
   Cap√≠tulo 4: CSRF - Ataques invis√≠veis aos seus usu√°rios
   Cap√≠tulo 5: Autentica√ß√£o e Autoriza√ß√£o - Quem √© voc√™ e o que pode fazer
   Cap√≠tulo 6: Controle de Acesso - Portas e chaves digitais
   Cap√≠tulo 7: Seguran√ßa de APIs - Protegendo seus endpoints
   Cap√≠tulo 8: Criptografia - Tornando dados ileg√≠veis para invasores
   Cap√≠tulo 9: Configura√ß√µes Seguras - DevSecOps na pr√°tica
   Cap√≠tulo 10: Checklist Final - Seu kit de seguran√ßa completo
""")

print("\n" + "=" * 70)
print("'A melhor hora para pensar em seguran√ßa foi no in√≠cio do projeto.")
print("A segunda melhor hora √© agora.' - Ana Rovina")
print("=" * 70)

# ==================== EXERC√çCIOS PR√ÅTICOS ====================

print("\n\n### EXERC√çCIOS PR√ÅTICOS ###\n")

def exercicio_1():
    """
    Exerc√≠cio: Identificar problemas de seguran√ßa
    """
    print("EXERC√çCIO 1: Identifique os problemas de seguran√ßa\n")

    codigo_vulneravel = """
    def login(username, password):
        query = f"SELECT * FROM users WHERE username = '{username}' AND password = '{password}'"
        result = db.execute(query)
        return result
    """

    print("C√≥digo:")
    print(codigo_vulneravel)
    print("\nProblemas identificados:")
    print("   1. SQL Injection - Concatena√ß√£o direta de strings na query")
    print("   2. Senha em texto plano - Password n√£o est√° hasheada")
    print("   3. Sem valida√ß√£o de input - Username e password n√£o s√£o validados")

    print("\n‚úÖ SOLU√á√ÉO CORRETA:")
    print("""
    import bcrypt

    def login_seguro(username, password):
        # Validar input
        if not username or not password:
            return None

        # Prepared statement (previne SQL Injection)
        query = "SELECT id, password_hash FROM users WHERE username = ?"
        result = db.execute(query, (username,))

        if result:
            # Verificar senha com bcrypt
            if bcrypt.checkpw(password.encode('utf-8'), result['password_hash']):
                return result

        return None
    """)

# Executar exerc√≠cio
exercicio_1()

print("\n" + "=" * 70)
print("FIM DO CAP√çTULO 1")
print("=" * 70)
print("\n‚úÖ Agora voc√™ entende os conceitos b√°sicos de seguran√ßa web!")
print("üìö Pr√≥ximo: Cap√≠tulo 2 - SQL Injection\n")