Categoria: Segurança Ofensiva
-
Reconhecimento em Cloud Azure: Verificando se a empresa está usando o Azure AD
Durante um pentest em uma infraestrutura Azure, é crucial identificar se a empresa está usando o Azure AD. O Azure AD é um ponto central para gerenciar identidades e autenticação em uma infraestrutura em nuvem da Microsoft. Ao identificar o uso do Azure AD, o pentester pode direcionar seus esforços para avaliar a segurança desse…
-
Sherlock: A ferramenta de inteligência de código aberto para descobrir identidades online.
Disclaimer. Por algum motivo que não faço a mínima ideia, quando eu escrevi esse artigo a ferramenta não estava mostrando alguns dados, ao contrário do vídeo no final do artigo, mas acredito que posteriormente isso vai ser resolvido. Mas de toda maneira ela continua sendo bem útil para seus testes. Há também outra ferramenta que…
-
“Decifrando a Criptografia: Uma Jornada Desde suas Origens até a Era Digital”
Introdução A criptografia, um campo fascinante e essencial na era digital, é a ciência e a arte de codificar mensagens para garantir a segurança da informação. O termo deriva das palavras gregas “kryptós”, que significa “oculto”, e “gráphein”, que significa “escrever”. Assim, a criptografia envolve essencialmente a escrita oculta – uma maneira de disfarçar informações…
-
Aumentando a Eficiência dos Testes de intrusão com o Generate Wordlist CryptoJS
Introdução Os testes de intrusão são essenciais para um desenvolvimento seguro dos aplicativos. Essas avaliações minuciosas ajudam a identificar vulnerabilidades em potencial e a fortalecer a segurança dos sistemas. No entanto, realizar pentests de forma eficiente requer uma variedade de ferramentas e técnicas especializadas. Neste artigo, exploraremos uma ferramenta desenvolvida por essa autora que vós…
-
Explorando a vulnerabilidade Cross-Site WebSocket Hijacking (CSWSH)
O que é WebSocket? O WebSocket é um protocolo de comunicação bidirecional que permite a interação entre um navegador web e um servidor web em tempo real. Ele oferece uma maneira rápida e eficiente de enviar e receber dados entre o cliente e o servidor, o que o torna ideal para aplicações web em tempo…
-
Ataques de XSS em aplicações PHP – Explorando o $_SERVER[‘PHP_SELF’])
Início de tudo. Que o PHP é o queridinho dos desenvolvedores para fazer o backend isso é fato – aos desenvolvedores NodeJS: por favor não tumultuar – e a longo do tempo ela dominou o mercado pela sua facilidade de escrita de código e também por ter prático na hora de subir um servidor PHP.…
-
Esteganografia: a arte de ocultar mensagens
Uma análise histórica e prática sobre uma técnica de segurança da informação O que é esteganografia: A esteganografia é uma técnica utilizada para ocultar informações em um meio de comunicação de forma imperceptível. Ela pode ser aplicada em diversos tipos de arquivos digitais, como imagens, áudios e vídeos, sem que a presença dessas informações seja…
-
Fazendo uma Web Shell através de um SQL Injection
Aprendi esta técnica com dois caras tops na área de Hacking Brasileiro: Rafa do @hackingnaweboficial e Kadu (@carlos.crowsec) da Crowsec. Se você caiu de paraquedas aqui, é bem provável que saiba o que significa SQL Injection, mas basicamente é uma vulnerabilidade que permite que um usuário injete trechos de código SQL em uma consulta que…