Não sei se vocês já tinham visto a versão 2.0
Manifesto Hacker 2.0(Inspirado em "A Consciência de um Hacker" por The Mentor, 8 de Janeiro de 1986)
Este é o nosso mundo agora... Um mundo feito de elétrons e switches, a beleza da largura de banda.
Nós usamos um serviço que já existe sem pagar, e que seria incrivelmente barato se não fosse gerenciado por uns f** da p*** gananciosos, preocupados demais em qual gravata combina melhor para o trabalho em vez de parar por 5 segundos de m**** para pensar se este é o tipo de mundo que querem deixar para quem vem depois de nós. E eles nos chamam de criminosos.
Veja bem, nós somos exploradores. Nós buscamos conhecimento em um mar de m**** que vocês enfiam goela abaixo todo dia com sua propaganda, com seus anúncios, com esses fantoches baratos que vocês usam para nos fazer pensar e agir como vocês já decidiram por nós.
"De acordo com um estudo, os jovens de hoje passam a maior parte do tempo em um smartphone enquanto ignoram o mundo ao redor. Eles não têm ideais nem uma identidade clara. Será que são todos iguais?"
Podem ter a p*** da certeza que somos todos iguais... Na escola, nos deram papinha quando estávamos famintos por um filé. Os pedaços de carne que vocês deixaram para nós já estavam mastigados e sem gosto.
Fomos dominados por sádicos e ignorados por apáticos, e os poucos que realmente tinham algo a ensinar encontraram em nós estudantes ávidos, mas eles são como gotas de água no deserto. Nós existimos sem cor de pele, sem nacionalidade, sem preconceito religioso ou sexual... e vocês nos chamam de criminosos.
Vocês constroem armas nucleares, vocês causam guerras, vocês matam, vocês enganam, vocês mentem e tentam nos fazer acreditar que é para o nosso próprio bem... e, ainda assim, nós somos os criminosos.
Sim, eu sou um criminoso. Meu crime é a curiosidade. Meu crime é julgar as pessoas pelo que elas dizem e pelo que pensam, não pela aparência delas.
Meu crime foi ser mais esperto que vocês, e isso é algo que vocês nunca vão me perdoar.
Eu sou um hacker, e este é o meu manifesto. Vocês podem me parar, mas não podem parar todos nós... Afinal de contas, somos todos iguais.Bypass CSP in a single click using Gareth Custom Action, powered by Rennie Pak's excellent CSP bypass project.
https://www.linkedin.com/posts/gareth-heyes-25a62b2_bypass-csp-in-a-single-click-using-my-new-activity-7406717731267428352-CjBV
You can install this Custom Action via the Extensibility Helper extension, or copy+paste from here:
https://github.com/PortSwigger/bambdas/blob/main/CustomAction/CSPBypass.bambda
https://www.linkedin.com/posts/gareth-heyes-25a62b2_bypass-csp-in-a-single-click-using-my-new-activity-7406717731267428352-CjBV
You can install this Custom Action via the Extensibility Helper extension, or copy+paste from here:
https://github.com/PortSwigger/bambdas/blob/main/CustomAction/CSPBypass.bambda
Tem um documentário que uma galera mais antiga de infosec vem compilando, e o Corvo soltou uma previa disso ontem no x.com dele
https://youtu.be/kPADAWbIDgA?si=c-nfeYRGnDfs6vQu
Acho dahora fomentar essa cultura hacking. Acredito muito em ter amor a profissao nesse sentido, sendo mesmo mais ludico. Até por isso meu handle.
https://youtu.be/kPADAWbIDgA?si=c-nfeYRGnDfs6vQu
Acho dahora fomentar essa cultura hacking. Acredito muito em ter amor a profissao nesse sentido, sendo mesmo mais ludico. Até por isso meu handle.
Ferramenta pra testar um um proximo cenário de senhas comuns e fracas. Resolveu um caso de ctf de um usuário em um grupo
https://github.com/helviojunior/knowsmore
https://github.com/helviojunior/knowsmore
GitHub
GitHub - helviojunior/knowsmore: KnowsMore is a swiss army knife tool for pentesting Microsoft Active Directory (NTLM Hashes, BloodHound…
KnowsMore is a swiss army knife tool for pentesting Microsoft Active Directory (NTLM Hashes, BloodHound, NTDS and DCSync). - helviojunior/knowsmore
No artigo, Frederik argumenta que sanitizadores conhecidos como o renomado DOMPurify, que por mais que seja uma dor de cabeça para os hackers que tentam explorar um simples XSS, ainda assim pode ter vulnerabilidades como, por exemplo, abrindo canais para o mXSS.
O mXSS é quando ocorre uma mutação, isso é, a string do XSS de entrada, quando o próprio navegador vai fazer o parsing da DOM tree acaba sendo alterada.
Isso acontece porque o método antigo exige uma dupla análise (parsing) do HTML (sanitizar e depois inserir) e a serialização de string no meio.
Essa instabilidade de contexto permite que o código malicioso se ative no segundo parsing.
O setHTML() se diferencia por eliminar a string intermediária sanitizada, garantindo que a análise e a sanitização ocorram em um único passo interno e contextualizado (o objeto DOM é o contexto) antes da inserção.
Exemplo Antigo (Inseguro):
const limpo = DOMPurify.sanitize(input); elemento.innerHTML = limpo;Exemplo Novo (Seguro):
elemento.setHTML(input);Se precisar de configuração, você a passa diretamente:
const s = new Sanitizer({ allowElements: ['h1'] }); elemento.setHTML(input, { sanitizer: s });Artigo: https://frederikbraun.de/why-sethtml.html
Se algum entrevistador te pedisse agora para explicar a diferença entre:
Session Hijacking, Session Fixation e Session Riding
Tu saberia? (Gatilho para estudos)
Session Hijacking, Session Fixation e Session Riding
Tu saberia? (Gatilho para estudos)
Ah, faz duas horas alguem tentou escanear o blog buscando arquivos de wordpress, tentando achar alguma falha
Amigao, nos temos o mesmo pensamento, tu realmente acha que eu ia meter um wordpress cheio de plugins pra fazer um site pra hackers? 😭🙏🏻
A página é estatica, feita com hugo pra compilar todos arquivos em html mesmo.
O unico lugar que aceita input é o diretorio de desafios e só rola xss propositalmente.
Espero ter ajudado a não gastar seu tempo
Abç do zeroc00i
Amigao, nos temos o mesmo pensamento, tu realmente acha que eu ia meter um wordpress cheio de plugins pra fazer um site pra hackers? 😭🙏🏻
A página é estatica, feita com hugo pra compilar todos arquivos em html mesmo.
O unico lugar que aceita input é o diretorio de desafios e só rola xss propositalmente.
Espero ter ajudado a não gastar seu tempo
Abç do zeroc00i
E esse react2shell a todo vapor essa semana hein.
A galera da automatizacao em bugbounty farmou muita grana com essa vulnerabilidade.
Quem não pode fazer o bump da versão tá se ferrando muito, caso esteja se escorando nas mitigações dos firewalls.
A cada dia surge um novo bypass de firewall.
Considerem como um novo log4j da vida.
Ah e não sei se voces viram o bafafa. O Shubs no x.com comentou que tinha achado um bypass na Vercel, o ceo twitou que duvidava. Dias depois veio o pedido de desculpas do ceo pelo tom e a abertura de um programa de bugbounty para quem achar bypasses.
Antes de duvidar, saiba com quem esta falando hahahaha
Sabe de mais algo? Tem duvidas? Quer compartilhar uma ferramenta massa que viu? Fica livre pra comentar aqui!
A galera da automatizacao em bugbounty farmou muita grana com essa vulnerabilidade.
Quem não pode fazer o bump da versão tá se ferrando muito, caso esteja se escorando nas mitigações dos firewalls.
A cada dia surge um novo bypass de firewall.
Considerem como um novo log4j da vida.
Ah e não sei se voces viram o bafafa. O Shubs no x.com comentou que tinha achado um bypass na Vercel, o ceo twitou que duvidava. Dias depois veio o pedido de desculpas do ceo pelo tom e a abertura de um programa de bugbounty para quem achar bypasses.
Antes de duvidar, saiba com quem esta falando hahahaha
Sabe de mais algo? Tem duvidas? Quer compartilhar uma ferramenta massa que viu? Fica livre pra comentar aqui!
https://github.com/PortSwigger/bambdas/blob/main/CustomScanChecks/CVE-2025-55182CVE-2025-66478-React2Shell.bambda
GitHub
bambdas/CustomScanChecks/CVE-2025-55182CVE-2025-66478-React2Shell.bambda at main · PortSwigger/bambdas
Bambdas collection for Burp Suite Professional and Community. - PortSwigger/bambdas
