Você curte conteúdos assim?
Anonymous Poll
67%
Sim
33%
Sim, mas não entendo muito
0%
Não muito, prefiro outras publicações daqui
Bruno Menozzi (Zeroc00I)
"Ah mas nossa zeroc00i como os desenvolvedores foram burros ne" OU "Ah, mas tambem, o cara deu sorte de achar isso né... Deve ser muito raro disso acontecer." Não, é bem comum na real. Saca só: Ta vendo essa mudança de uma linha de código que usava includes…
Essa modifição por parte da galera que mantém o N8N, nada mais foi do que uma correção devido a UMA NOVA CVE ter sido gerada em cima da correção de outra CVE. Um pesquisador viu uma correção errada em cima da tentativa frustrada de corrigir uma das CVEs mais recentes no N8N (aquela de ssrf no webhook)

https://github.com/n8n-io/n8n/pull/23399

O cara viu a CVE, foi ver como corrigiram e corrigiram errado.

Isso parte daquela estrategia que muitos pesquisadores adotam: muitas vezes não se precisa explorar as coisas proativamente, basta manter em monitoramento o que já existe e rechecar só as coisas novas implementadas / mudanças. Nessa caso um fixing errado. Algumas linhas de código em um componente que tem milhares. Algumas linhas que geraram um nova vulnerabilidade.

Cheers, 🥂
GitHub
fix(Webhook Node): Use CIDR matching for IP whitelist check by mfsiega · Pull Request #23399 · n8n-io/n8n
Summary
Use CIDR matching for IP whitelist check instead of plain string matching.
Related Linear tickets, Github issues, and Community forum posts
Fixes https://linear.app/n8n/issue/CAT-1846
Revie...
"Ah mas nossa zeroc00i como os desenvolvedores foram burros ne"
OU

"Ah, mas tambem, o cara deu sorte de achar isso né... Deve ser muito raro disso acontecer."

Não, é bem comum na real. Saca só: Ta vendo essa mudança de uma linha de código que usava includes (vulgo contains tambem) pra uma nova função chamada check na imagem aqui?
Bruno Menozzi (Zeroc00I)
Ei hacker holywoodiano, boa noite. Tu já ta mais avançado nos conteúdos? Saca só essa pesquisa que a WIZ lançou hoje: https://www.wiz.io/blog/wiz-research-codebreach-vulnerability-aws-codebuild
Toda a falha nos componentes da AWS foi possível por causa de uma....

REGEX ERRADA. Tavam usando uma expressão regular do tipo "contem x valor" e não: essa string é exatamente x valor
Ei hacker holywoodiano, boa noite.
Tu já ta mais avançado nos conteúdos? Saca só essa pesquisa que a WIZ lançou hoje:

https://www.wiz.io/blog/wiz-research-codebreach-vulnerability-aws-codebuild
Você está procurando vaga na área de offensive security ou trocaria para outra empresa (gringa, que pague melhor etc?)
Anonymous Poll
93%
Sim
7%
Não
Tu já fez um artigo, writeup, ferramenta? Esse é o post que tu mostra pra todos do grupo feitos teu! Vale tudo: link do medium, link pra um post do linkedin, github, youtube, perfil do hackthebox, da h1 etc
Bruno Menozzi (Zeroc00I)
a hackviser está com suas duas certificações completamente de graça, além da trilha completa de formação, em pestest web e segurança ofensiva, confiram no site e não deixem essa oportunidade passar Links abaixo: https://hackviser.com/cwse https://hackviser.com/capt
Alguém ta fazendo / já ouviu falar?
a hackviser está com suas duas certificações completamente de graça, além da trilha completa de formação, em pestest web e segurança ofensiva, confiram no site e não deixem essa oportunidade passar

Links abaixo:

https://hackviser.com/cwse
https://hackviser.com/capt
Hackviser
CWSE - Certified Web Security Expert | Hackviser
CWSE - Certified Web Security Expert | Hackviser
Earn your CWSE certification and become a web security expert. Master advanced web application penetration testing techniques through hands-on exercises.
Vaga de GV na BTG

Confira esta vaga na BTG Pactual: https://www.linkedin.com/jobs/view/4359450988
Linkedin
BTG Pactual hiring Analista de Vulnerabilidades - Security Office in São Paulo, São Paulo, Brazil | LinkedIn
Posted 1:02:28 AM. Sobre a ÁreaA área de Governança de Segurança da Informação, focada em Vulnerability Management, é…See this and similar jobs on LinkedIn.
Bruno Menozzi (Zeroc00I)
Aquele tipo de artigo que tu tem que entender varias bases antes pra entender então o cenário completo
Só assim não te chamou a atenção? Foi mal. Vamos de novo: Veja como esse hacker conseguiu 312 mil dolares em dois bugs reportados em dois dias de diferença entre o primeiro e o segundo

https://ysamm.com/uncategorized/2025/01/13/capig-xss.html
Aquele tipo de artigo que tu tem que entender varias bases antes pra entender então o cenário completo
O sistema deve exigir a criação de uma senha com no mínimo 64 bits de entropia, Mínimo de 12 a 15 caracteres (exigido pelo Nist), deve exigir validação contra "Dicionários de Entropia Baixa" e contra base de dados vazada. A tela de autenticacão do banco de milhões de pessoas: (Se você fosse adivinhar por que isso acontece, o que vem na sua cabeça?)
Vaga de Appsec Remoto na Stone criada ontem. Candidatura simplificada.

https://www.linkedin.com/jobs/view/4353060587/
Linkedin
Stone hiring AppSec in Brazil | LinkedIn
Posted 8:30:34 PM. A Stone está com uma oportunidade em seu time de Segurança em Desenvolvimento (AppSec) na área de…See this and similar jobs on LinkedIn.
Artigo do Felipe Prado falando sobre desemprego na area de infosec. Se tu tiver na busca de uma vaga acho que é uma ótima fonte para pensar com uma visão nova:

https://www.linkedin.com/pulse/o-desemprego-e-jornada-do-recome%C3%A7o-entre-dor-da-demiss%C3%A3o-felipe-prado-z9dsf
Linkedin
O Desemprego e a Jornada do Recomeço: Entre a Dor da Demissão e os Obstáculos da Recolocação
O Desemprego e a Jornada do Recomeço: Entre a Dor da Demissão e os Obstáculos da Recolocação
Desta vez eu não vou falar de segurança. Este é um artigo falando um pouco sobre o desemprego, e de como isso nos afeta não só profissionalmente, mas pessoalmente também.
https://youtu.be/CQGZDwjyBhM?si=mgCmVMLvjxMhKq8G

Já troquei ideia com o Felipe Prado, cara muito gente fina e acessível
YouTube
CyberCast EP #25 — Security is a Lifestyle | com Felipe Prado
Neste episódio, recebemos Felipe Prado, especialista em segurança da informação com mais de 30 anos de estrada, para um papo real — sem roteiro, sem modinha e sem atalhos.

Falamos sobre:
• a importância do básico em tecnologia
• segurança como lifestyle…
Linus Torvalds vibecodou
Tá liberado agora galera
Tenho certeza que muitos aqui não viram essa sigla ainda "CSPT2CSRF".

Não vou falar o que é pra despertar a curiosidade de vocês (e por preguiça pq dá um desconto, é fim de semana e eu to vendo jogo do grêmio)

Cheers, Zeroc00i
Vaga redbelt - Consultor Pentester Pleno

https://www.linkedin.com/jobs/view/4352022948/?refId=sR%2BbjN6pMc1z2i3Sk8u04Q%3D%3D&trackingId=sR%2BbjN6pMc1z2i3Sk8u04Q%3D%3D
Linkedin
Redbelt Security hiring Consultor Pentester Pleno in São Paulo, São Paulo, Brazil | LinkedIn
Posted 9:51:14 PM. Você será responsável por executar projetos de Red Team nas modalidades API, Web e Mobile, realizar…See this and similar jobs on LinkedIn.
Before
After
Back to Top