Segunda vez que caio nesse artigo.
Ele mostra como existem cenários muito criativos que a gente as vezes nem pensa sobre como um xss pode ter mais valor que um simples alert e como o comportamento do servidor pode ajudar a leakar informacoes dos cookies mesmo quando emprega http only
https://castilho.sh/scream-until-escalates
Ele mostra como existem cenários muito criativos que a gente as vezes nem pensa sobre como um xss pode ter mais valor que um simples alert e como o comportamento do servidor pode ajudar a leakar informacoes dos cookies mesmo quando emprega http only
https://castilho.sh/scream-until-escalates
Para assistir mais tarde ++
Preciso começar a colocar IA no meu workflow:
https://youtu.be/1VzT7CuWp3Y?si=Co0kPlNjSLvf42bj
Preciso começar a colocar IA no meu workflow:
https://youtu.be/1VzT7CuWp3Y?si=Co0kPlNjSLvf42bj
📅 Date & time
Thu, Nov 27, 7:00 PM (GMT-03:00)
https://h1.community/events/details/hackerone-brazil-hackerone-club-presents-bypaxss-the-brute-art-of-bypass/
Thu, Nov 27, 7:00 PM (GMT-03:00)
About this event
Evading security mechanisms like filters and WAFs is hacking on another level. In this talk we will see how WAFs from major vendors were consistently bypassed, along with the techniques involved to exploit the most common vulnerability of the web: the Cross-Site Scripting (XSS).
After a quick recap of basic XSS exploitation and how to prove it for bug reporting, the audience will see the "easy wins", clear examples of simple yet effective bypasses, the mistakes made by those who try to mitigate web attacks and the very principles and tricks used to fool most filters out there.
Finally a new tool to create unique payloads for filter and WAF evasions will be shown to highlight the same techniques discussed throught the talk.
Rodolfo Assis Aka @BRuteLogic
Independent cybersecurity researcher with 15+ years of experience in web application security. Creator of KNOXSS, the industry-leading automated XSS detection tool used by hundreds of security professionals worldwide.
Has helped fix over 1,000 XSS vulnerabilities including discoveries in major companies like Oracle, Samsung, Uber, Apple, Amazon, and Microsoft. Recognized as a Top 200 Global Cybersecurity Influencer by CheckPoint/Perimeter 81.
International speaker at conferences including DEFCON and Ekoparty. Author of the Brute XSS Cheat Sheet series. Philosophy: XSS is much more than
https://h1.community/events/details/hackerone-brazil-hackerone-club-presents-bypaxss-the-brute-art-of-bypass/
HackerOne Community
BypaXSS - The Brute Art of Bypass
Virtual Event - None
Saiu a poucas horas um podcast com o cangaceiro.
Gente boa, ta aqui no grupo
Cola aí na entrevista com ele:
https://youtu.be/u0bU2mHVTNI?si=21v681KkM-C_qQf2
Gente boa, ta aqui no grupo
Cola aí na entrevista com ele:
https://youtu.be/u0bU2mHVTNI?si=21v681KkM-C_qQf2
Intro e Preview bem curto do conteúdo que a galera VIP tem acesso
https://brunomenozzi.com/vip
https://brunomenozzi.com/vip
A comunidade inteira ta começando a falar sobre esse comportamento da cloudflare agora (7 dias dps)
Galera, pra quem não conhece esse grupo é da galera da village de bugbounty da H2HC (um dos eventos mais tecnicos do brasil de infosec em SP) que ocorreu ano passado
Lá estamos ideiando alguma possibilidade de evento caso a H2HC não ocorra. Nada certo ainda mas se rolar, tu fica ligado por lá
https://t.me/bugbountyhunterbrasil
Lá estamos ideiando alguma possibilidade de evento caso a H2HC não ocorra. Nada certo ainda mas se rolar, tu fica ligado por lá
https://t.me/bugbountyhunterbrasil
0xTib3rius fez uma entrevista com um dos pesquisadores de AI da Xbow!
https://www.youtube.com/watch?v=tbqs4ke4Oa4
Se tu não conhece o 0xTib3rius ou o Xbow, tu tá por fora e tem que se atualizar, po! xD
Video falando sobre o Xbow AI:
https://www.youtube.com/watch?v=rvA8IbyogJ0
https://www.youtube.com/watch?v=tbqs4ke4Oa4
Se tu não conhece o 0xTib3rius ou o Xbow, tu tá por fora e tem que se atualizar, po! xD
Video falando sobre o Xbow AI:
https://www.youtube.com/watch?v=rvA8IbyogJ0
Os dados expostos incluem nomes, CPFs, e-mails, telefones e carteirinhas
Fonte: https://x.com/_AdrianoCamacho/status/1986186274839867667
Pessoal, vou dar aquele sharing love.
Obrigado mesmo a todos que assim que posto algum artigo, dedicam um tempo pra ir lá ler. As estatísticas do nosso blog sempre tão em alta e isso dá muita motivação p/ continuar.
Valeu mesmo a todos aqueles que quando sai um artigo mandam pra amigos, grupos etc.
O grupo VIP também tem crescido gradualmente e tenho tido ótimos feedbacks!
Minha intenção é continuar com isso aqui por muito tempo, por que é uma extensão do que eu sou, do que eu gosto de fazer: compartilhar o que estudo.
Vai ser muito massa daqui um tempo olhar pra trás e ver quem esteve apoiando desde o início. Por quê esse é só o início. Sou sonhador e já tenho planos maiores. TMJ
Obrigado mesmo a todos que assim que posto algum artigo, dedicam um tempo pra ir lá ler. As estatísticas do nosso blog sempre tão em alta e isso dá muita motivação p/ continuar.
Valeu mesmo a todos aqueles que quando sai um artigo mandam pra amigos, grupos etc.
O grupo VIP também tem crescido gradualmente e tenho tido ótimos feedbacks!
Minha intenção é continuar com isso aqui por muito tempo, por que é uma extensão do que eu sou, do que eu gosto de fazer: compartilhar o que estudo.
Vai ser muito massa daqui um tempo olhar pra trás e ver quem esteve apoiando desde o início. Por quê esse é só o início. Sou sonhador e já tenho planos maiores. TMJ
Tue, Nov 11, 2025, 4:00 PM - 7:30 PM
https://youtube.com/live/Yb0ws7g2lMU
(Perto do horário, se forem ver também, lembrem de mandar nos comentários aqui, pra galera que esquecer pf)
O que é, afinal, uma carreira hacker?
AppSec, Pentest, Exploits, Bug Bounty, Certificações, IA…
Com tanta informação espalhada por aí, é fácil se sentir perdido.
Mas a verdade é que o mercado não quer apenas quem "sabe hackear" — ele quer quem entende o impacto do que faz.
Terça-feira dia 11/11 as 19h30, a SecDay Live #2 recebe Allan Trindad, especialista em segurança ofensiva, para um papo direto sobre carreira hacker e os caminhos reais para entrar na área.
O que vai rolar:
Diferenças entre AppSec e Pentest (e como cada um atua no dia a dia)
A importância (real!) de saber programar
Faculdade ou Certificações?
Como montar seu próprio laboratório em casa
E claro: a IA vai roubar ou turbinar o trabalho do hacker ético?
No final, o Conselho de Ouro do Allan para quem está começando.🔥 Ei, hacker holywoodiano: dediquei um tempo para escrever sobre um cenário que vejo se repetir com frequência no bug bounty, especialmente com a ascensão de pessoas que querem entrar na área e encontram a palavra OSINT em todo lugar.
Muitos acabam se deparando com o waybackurls na expectativa de atingir resultados que a ferramenta, em suas configurações padrão, não entrega.
Neste artigo, abordo como você pode estar perdendo todo um cenário de acesso a páginas únicas, e como URLs provenientes do Virus Total, entre outros sandboxes, se diferenciam daquelas obtidas através do web.archive e common crawls.
LINK PRO ARTIGO:
https://brunomenozzi.com/posts/mentalidade/waybackurls-entendimento/
Muitos acabam se deparando com o waybackurls na expectativa de atingir resultados que a ferramenta, em suas configurações padrão, não entrega.
Neste artigo, abordo como você pode estar perdendo todo um cenário de acesso a páginas únicas, e como URLs provenientes do Virus Total, entre outros sandboxes, se diferenciam daquelas obtidas através do web.archive e common crawls.
LINK PRO ARTIGO:
https://brunomenozzi.com/posts/mentalidade/waybackurls-entendimento/
