Tag: vulnerabilidades

  • Host Header Injection

    Salvee, rapaziada, como estão? Vou abordar um tema que era bastante curioso para mim, gostei bastante de ter feito este artigo, porque eu realmente estava interessado em saber como este ataque funciona e o motivo dele ser daora 🙂 Vamos lá, então! Para que serve um Header Host? A proposta do Header “Host” nas requisições é a…

  • Estratégias de Red Team vs Blue Team: Preparando Empresas para Ataques Reais

    Em um mundo cada vez mais digitalizado, a cibersegurança deixou de ser uma opção para se tornar uma necessidade. A frequência e a sofisticação dos ataques cibernéticos estão crescendo, o que torna imperativo que as organizações estejam preparadas para enfrentar esses desafios de forma proativa. Nesse cenário, a abordagem de Red Team vs Blue Team…

  • TPS 2021: Como foi a experiência de auditar o sistema eleitoral brasileiro?

    Nota do autor: Em nenhum momento durante esse artigo pende para um lado ou para outro, justamente por isso ele saiu mais de 1 ano depois do período de testes e do período eleitoral. Além disso, este artigo está redigido com base no termo de confidencialidade assinado por todos os participantes. Tudo tem um começo.…

  • ROOTKITS

    Entendendo Rootkits: A Ameaça Silenciosa da Cybersegurança Olá, leitores! No universo da cybersegurança, existem diversas ameaças que, dia após dia, testam nossas defesas. Uma das mais astutas e furtivas é o rootkit. Mas o que exatamente é um rootkit e por que devemos nos preocupar com ele? Vamos explorar. 1. O que é um Rootkit?…

  • Remote code Execution via polyglot web shell upload

    Nesse laboratório vamos usar um ambiente controlado da portswigger e aconselho após ler esse passo a passo para exploração, tentar você mesmo colocar em prática. have fun 🙂 Este laboratório possui uma função de upload de imagens suscetível a vulnerabilidades. Mesmo que analise o conteúdo do arquivo para assegurar que é uma imagem legítima, ainda…

  • CSRF — Como funciona e o que é?

    Olá a todos! Como estão? Talvez estejam enjoando um pouco de artigos sobre falhas da WEB com foco em offensive, porém é algo que, para mim, falta bastante no BR, prometo que na próxima será abordado um writeup ou algo diferente :). Enfim, neste artigo serão abordados os temas de CSRF e, de forma bem rasa,…

  • Write-up: File Inclusion — Hack The Box Academy

    Motivação Esse write-up busca solucionar os desafios + o Skills Assessment propostos pelo módulo de File Inclusion da plataforma Hack The Box Academy que podem ser encontrados de maneira gratuita através deste link: https://academy.hackthebox.com/module/details/23 Este texto foi organizado de acordo com a ordem cronológica dos desafios. O que é um LFI? Segundo a OWASP a definição…

  • Comprei o Shodan, e agora?

    Explorando o Poder do SHODAN No cenário em constante evolução da cibercriminalidade, a necessidade de fortalecer as defesas digitais nunca foi tão premente. À medida que a internet continua a se expandir, dispositivos conectados e sistemas expostos tornaram-se um alvo atrativo para cibercriminosos em busca de vulnerabilidades. Nesse contexto, o SHODAN.IO surge como uma ferramenta…

  • Business Logic Vulnerability

    Todo mundo sabe que existem falhas em um sistema, mas você já passou por uma situação em que, por uma sequência de acontecimentos, foi possível explorar certa vulnerabilidade?  Pois é, isso é mais conhecido como: “Business Logic Vulnerability” ou, traduzido ao pé da letra, vulnerabilidade na lógica de negócios. Neste artigo, faremos uma breve introdução…