Não vou falar o que é pra despertar a curiosidade de vocês (e por preguiça pq dá um desconto, é fim de semana e eu to vendo jogo do grêmio)
Cheers, Zeroc00i
Vaga redbelt - Consultor Pentester Pleno
https://www.linkedin.com/jobs/view/4352022948/?refId=sR%2BbjN6pMc1z2i3Sk8u04Q%3D%3D&trackingId=sR%2BbjN6pMc1z2i3Sk8u04Q%3D%3D
https://www.linkedin.com/jobs/view/4352022948/?refId=sR%2BbjN6pMc1z2i3Sk8u04Q%3D%3D&trackingId=sR%2BbjN6pMc1z2i3Sk8u04Q%3D%3D
https://www.cnnbrasil.com.br/nacional/sul/rs/rs-hacker-e-condenado-a-9-anos-de-prisao-apos-derrubar-sistema-da-justica/
Mas vou fazer questão de deixar de novo meu conselho...
Lá se vai mais um cara novo de 23 anos que foi iludido com a sensação de poder: Derrubar um site.
Pra que? Qual proposito? Po, que tempo de vida jogado fora...
Muitos aqui do canal já devem ter proximidade com conhecidos que participam de grupo de DDOS e tal. O cara coordenava um grupo no telegram.
Foi simplesmente isso: Botnet. Selecionou um alvo. Pagou pessoas para ajudar no ataque. 9 anos de vida em regime fechado.
DDOS é coisa de lammer galera. Venda de dados vazados é coisa de ladrão. Não caiam nessa de dinheiro fácil. Não é por que as pessoas tão atrás de uma tela que tu não tá afetando a vida de uma senhorinha que colocou o cartão dela num aplicativo que tinha a segurança pior que sabe-se lá o que.
Pra mim hacker rockstar é o cara que consegue, apesar de todas burocracias, regras e competividade, hackear empresas maduras, tecnologias complexas. ESSE SIM É HACKER.
Fiz uma leitura rápida, parece fazer sentido.
Sem code review, rode por sua conta e risco:
https://github.com/Chocapikk/CVE-2026-21858/tree/master
Sem code review, rode por sua conta e risco:
https://github.com/Chocapikk/CVE-2026-21858/tree/master
GitHub
GitHub - Chocapikk/CVE-2026-21858: n8n Ni8mare - Unauthenticated Arbitrary File Read to RCE Chain (CVSS 10.0)
n8n Ni8mare - Unauthenticated Arbitrary File Read to RCE Chain (CVSS 10.0) - Chocapikk/CVE-2026-21858
Saiu recentemente uma CVE no N8N pauleira, não autenticada e com um artigo MT foda, que vai aprimorar teu code review
Artigo:
https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858
Github Advisories:
https://github.com/advisories/GHSA-v4pr-fm98-w9pg
https://github.com/n8n-io/n8n/security/advisories/GHSA-v4pr-fm98-w9pg
Artigo:
https://www.cyera.com/research-labs/ni8mare-unauthenticated-remote-code-execution-in-n8n-cve-2026-21858
Github Advisories:
https://github.com/advisories/GHSA-v4pr-fm98-w9pg
https://github.com/n8n-io/n8n/security/advisories/GHSA-v4pr-fm98-w9pg
Cyera
Ni8mare - Unauthenticated Remote Code Execution in n8n (CVE-2026-21858) | Cyera Research Labs
Cyera Research Labs has discovered a "worst-case scenario" flaw in n8n, the industry-leading platform for AI and workflow automation. Dubbed "Ni8mare," this vulnerability (CVE-2026-21858) allows an unauthenticated remote attacker to gain full administrative…
Oportunidade para Campinas/SP em regime de estágio Presencial.
https://sidi.gupy.io/jobs/10625410
Quer animacao / efeito de transicao? Nao obrigado
Quer sombra? Nao obrigado
Quer transparencia? Nao obrigado
Quer bordas arredondadas? Nao obrigado
Quer widgets adicionais? Nao obrigado
Minha mente precisa do menor estimulo pra se dispersar. Quanto menos coisas, melhor. E mais performatico.
Pra quem não entendeu, um cara no x.com disse: oh xssrat, ta ai a funcionalidade de enquete que tu pediu no bugbounty.forum.
E a enquete nada mais era que: o xssrat é uma fraude? Com 149 votos entre 157 falando que sim
E a enquete nada mais era que: o xssrat é uma fraude? Com 149 votos entre 157 falando que sim
Será que vamos bater 500 membros até o fim de janeiro? Seria doido demais ein!
Chama aquele teu brother pra cá. Tenho um amigo que eu sempre encaminho coisas que posto aqui pra gente ficar falando sobre, você pode fazer o mesmo
Link pro grupo: https://t.me/zeroc00i_news
#sharing_is_caring
Chama aquele teu brother pra cá. Tenho um amigo que eu sempre encaminho coisas que posto aqui pra gente ficar falando sobre, você pode fazer o mesmo
Link pro grupo: https://t.me/zeroc00i_news
#sharing_is_caring
Eu reportei uma falha crítica para uma empresa DE GRAÇA e ela não me respondeu. Nem mesmo um obrigado.
Foi o que eu li.
Nos grupos de infosec mais maduros, a resposta para esse tipo de caso já vem com uma pergunta óbvia: "Você tinha autorização para testar?"
Em contrapartida, muitos tentam justificar a invasão pelo "lado do bem", mas na minha visão a lógica é simples e talvez eu consiga fazer você entender através dessa analogia:
Imagine um chaveiro que arromba a sua porta enquanto você dorme, senta no seu sofá e diz: "Vim avisar que sua fechadura é fraca. Pode me dar uma recompensa?"
Você não sentiria gratidão. Sentiria que foi violado. No digital é exatamente a mesma coisa.
Boa intenção não substitui autorização. Sem o "sim", você não está ajudando; você será visto como um incidente de segurança.
Nesse artigo do link, refleti sobre essa falácia do "herói da internet" e os caminhos éticos para quem quer reconhecimento de verdade:
Foi o que eu li.
Nos grupos de infosec mais maduros, a resposta para esse tipo de caso já vem com uma pergunta óbvia: "Você tinha autorização para testar?"
Em contrapartida, muitos tentam justificar a invasão pelo "lado do bem", mas na minha visão a lógica é simples e talvez eu consiga fazer você entender através dessa analogia:
Imagine um chaveiro que arromba a sua porta enquanto você dorme, senta no seu sofá e diz: "Vim avisar que sua fechadura é fraca. Pode me dar uma recompensa?"
Você não sentiria gratidão. Sentiria que foi violado. No digital é exatamente a mesma coisa.
Boa intenção não substitui autorização. Sem o "sim", você não está ajudando; você será visto como um incidente de segurança.
Nesse artigo do link, refleti sobre essa falácia do "herói da internet" e os caminhos éticos para quem quer reconhecimento de verdade:
