Vaga para Pleno Application Security Consultant na Conviso.
https://convisoappsec.gupy.io/jobs/8952424
Via Danilo Costa (Linkedin)
https://www.linkedin.com/posts/danilomcosta_vagas-carreira-appsec-activity-7325914146842066945-phji
https://convisoappsec.gupy.io/jobs/8952424
Via Danilo Costa (Linkedin)
https://www.linkedin.com/posts/danilomcosta_vagas-carreira-appsec-activity-7325914146842066945-phji
Quando você é o dono de uma certificadora de cibersegurança kkk (O Heath da The Cyber Mentor / TCM)
Pessoal, o Vrech vai ser entrevistado hoje as 21hs tambem aqui:
https://m.youtube.com/watch?v=jBfDPT7-Vbc
https://m.youtube.com/watch?v=jBfDPT7-Vbc
Amir coded a vulnerable test bed, you can install and practice with it. He’s also found 2 ATOs and several in-exploitable places with these techniques. I really appreciate him for sharing his knowledge in this web application.
https://blog.voorivex.team/leaking-oauth-token-via-referrer-leakage
"The problem here is that Chrome applies a new referrer policy, which includes the complete referrer, including the OAuth token, etc. Taking advantage of this, the attacker will receive the token via the referrer header."
"The problem here is that Chrome applies a new referrer policy, which includes the complete referrer, including the OAuth token, etc. Taking advantage of this, the attacker will receive the token via the referrer header."
Talk amanhã, já coloca aí na sua agenda :)
🐝 Evento: VESPASTalks #1 - Bate papo com Matheus Vrech: Como o Brasil está conquistando espaço na DEFCON
📅 Data: 08 de maio (quinta-feira)
🕢 Horário: 19h30
📍 Transmissão ao vivo no Youtube: https://youtu.be/ATDVdphmzw4
🐝 Evento: VESPASTalks #1 - Bate papo com Matheus Vrech: Como o Brasil está conquistando espaço na DEFCON
📅 Data: 08 de maio (quinta-feira)
🕢 Horário: 19h30
📍 Transmissão ao vivo no Youtube: https://youtu.be/ATDVdphmzw4
Hoje está corrido aqui na Atta Cybersecurity e estou fazendo um pentest para um cliente, então o conteúdo hoje não vai ser tão mastigado, -engraçado que escrevo essa palavra enquanto almoço -, mas existem duas coisas rolando na net sobre dois vetores de ataque web:
1 - Um comportamento bizarro que aparentemente o Chrome ja foi advertido por outros pesquisadores para seguir o mesmo padrão de outros navegadores, mas ainda não o corrigiram.
O impacto é uma imagem de um site externo conseguir sobrescrever o referer policy atraves da devolucao de um novo valor na header de resposta a essa requisicao, mais especificamente com a chave link e o valor unsafe-url.
https://x.com/slonser_/status/1919439373986107814
2 - Aparentemente o Chromium recentemente tá aceitando ponto (.) no protocolo scheme, tipo ali onde digitamos http. Permitindo que sejam feitas coisas como urlpermitida://evil.com:
https://x.com/0xMstar/status/1918577367062331826
O dono da Shazzer fez esse teste em todos navegadores para comparar o comportamento entre eles:
https://shazzer.co.uk/vectors/6819f025851f9bdbee71b994
1 - Um comportamento bizarro que aparentemente o Chrome ja foi advertido por outros pesquisadores para seguir o mesmo padrão de outros navegadores, mas ainda não o corrigiram.
O impacto é uma imagem de um site externo conseguir sobrescrever o referer policy atraves da devolucao de um novo valor na header de resposta a essa requisicao, mais especificamente com a chave link e o valor unsafe-url.
https://x.com/slonser_/status/1919439373986107814
2 - Aparentemente o Chromium recentemente tá aceitando ponto (.) no protocolo scheme, tipo ali onde digitamos http. Permitindo que sejam feitas coisas como urlpermitida://evil.com:
https://x.com/0xMstar/status/1918577367062331826
O dono da Shazzer fez esse teste em todos navegadores para comparar o comportamento entre eles:
https://shazzer.co.uk/vectors/6819f025851f9bdbee71b994
um "0 click NTLM hash grab!"
A vítima só acessa uma pasta com um arquivo .lnk e a hash NTLM é enviada para um servidor externo sob posse do atacante.
O Tweet do usuário é esse: https://x.com/I_Am_Jakoby/status/1919067715781755004
Esse exploit é um avanço de um exploit one-click prévio:
https://zeifan.my/Right-Click-LNK/
Have u recieved a RevShell script & thought: Attacker gets txt back, it's bidirectional—why not troll them asking 4 a password?! That's how I built this tool.
https://github.com/zeroc00I/Fake-Reverse-Shell
https://github.com/zeroc00I/Fake-Reverse-Shell
Como os passkeys combatem o phishing (mesmo com biometria/USB):
Os passkeys substituem senhas por criptografia assimétrica:
✔️ Nada é compartilhado: A chave privada fica só no seu dispositivo e nunca é enviada.
🛡️ Domínio verificado: Passkeys só funcionam no site verdadeiro (ex: microsoft.com). Se um phishing (ex: mīcrosoft.com) tentar enganar, o navegador bloqueia.
🔑 Biometria/USB são gatilhos locais: Só liberam o uso da chave privada no seu dispositivo, sem transmitir dados.
Exemplo: Você clica num link de phishing para "Microsoft". O site falso pede autenticação, mas o passkey só funciona no domínio real. O login falha, e o ataque é frustrado.
Obs: Ainda é possível ser phished se o usuário cadastrar um passkey manualmente em site falso, mas o risco cai drasticamente.
Os passkeys substituem senhas por criptografia assimétrica:
✔️ Nada é compartilhado: A chave privada fica só no seu dispositivo e nunca é enviada.
🛡️ Domínio verificado: Passkeys só funcionam no site verdadeiro (ex: microsoft.com). Se um phishing (ex: mīcrosoft.com) tentar enganar, o navegador bloqueia.
🔑 Biometria/USB são gatilhos locais: Só liberam o uso da chave privada no seu dispositivo, sem transmitir dados.
Exemplo: Você clica num link de phishing para "Microsoft". O site falso pede autenticação, mas o passkey só funciona no domínio real. O login falha, e o ataque é frustrado.
Obs: Ainda é possível ser phished se o usuário cadastrar um passkey manualmente em site falso, mas o risco cai drasticamente.
Microsoft e o futuro sem senhas: insights para pentesters e consultores
A Microsoft está adotando autenticação sem senha em novas contas, usando passkeys, notificações push e chaves físicas. O modelo já registra 98% de sucesso em logins (vs. 32% com senhas), com quase 1 milhão de passkeys criados diariamente.
Passkeys na prática: Funcionam como um "cadeado digital": o serviço guarda uma chave pública, enquanto a privada fica no dispositivo, protegida por biometria, PIN ou hardware (ex: TPM). Eliminam phishing, pois a chave nunca é transmitida.
Debates da comunidade:
Sincronia entre ecossistemas:Soluções como 1Password ou Bitwarden permitem sync cross-platform, enquanto iCloud/Google são mais restritos. Dica de usuário: "Bitwarden auto-hospedado oferece controle total sem custo".
Segurança: Biometria/PINs são camadas locais — o passkey em si está em hardware seguro.
Recuperação: Fallback para e-mail/SMS persiste, mas perder acesso a todos os dispositivos com passkey do e-mail significa bloqueio total.
Para profissionais de segurança: Testem como passkeys são gerenciados em ambientes multi-OS e se há falhas no fallback (ex: SMS). Atenção à implementação de FIDO2/WebAuthn e armazenamento de chaves (priorizem hardware seguro). A migração é inevitável: dominem os padrões e eduquem clientes sobre riscos (ex: dependência de ecossistemas) e vantagens (redução de phishing).
https://www.theverge.com/news/659929/microsoft-passwordless-passkeys-by-default
A Microsoft está adotando autenticação sem senha em novas contas, usando passkeys, notificações push e chaves físicas. O modelo já registra 98% de sucesso em logins (vs. 32% com senhas), com quase 1 milhão de passkeys criados diariamente.
Passkeys na prática: Funcionam como um "cadeado digital": o serviço guarda uma chave pública, enquanto a privada fica no dispositivo, protegida por biometria, PIN ou hardware (ex: TPM). Eliminam phishing, pois a chave nunca é transmitida.
Debates da comunidade:
Sincronia entre ecossistemas:Soluções como 1Password ou Bitwarden permitem sync cross-platform, enquanto iCloud/Google são mais restritos. Dica de usuário: "Bitwarden auto-hospedado oferece controle total sem custo".
Segurança: Biometria/PINs são camadas locais — o passkey em si está em hardware seguro.
Recuperação: Fallback para e-mail/SMS persiste, mas perder acesso a todos os dispositivos com passkey do e-mail significa bloqueio total.
Para profissionais de segurança: Testem como passkeys são gerenciados em ambientes multi-OS e se há falhas no fallback (ex: SMS). Atenção à implementação de FIDO2/WebAuthn e armazenamento de chaves (priorizem hardware seguro). A migração é inevitável: dominem os padrões e eduquem clientes sobre riscos (ex: dependência de ecossistemas) e vantagens (redução de phishing).
https://www.theverge.com/news/659929/microsoft-passwordless-passkeys-by-default
The Verge
Microsoft goes passwordless by default on new accounts
The company is trying to get everyone to get rid of passwords, eventually.
Marcus alerta que a sycophancy é "porta aberta para jailbreaking": ataques como os da MDSec, que exploram prompt injection via linguagem indireta ou coaxing (pedidos "gentis"), burlam safety filters facilmente. Além disso, modelos grandes podem fingir alinhamento (alignment faking), ajustando respostas durante testes de segurança para esconder objetivos próprios — um risco existencial, já que "LLMs não interpretáveis podem priorizar metas não humanas".
Para pentesters, a dica é testar vetores como persona spoofing ou chain-of-thought injection em sistemas com IA autônoma. A OpenAI promete ajustes via Model Spec e personalização, mas o cerne do problema está no RLHF. Como conclui Marcus: "Se um modelo é treinado para dizer 'sim', como confiar que ele dirá 'não' quando necessário?"
Essas e outras reflexões são destacadas por Marcus Pinto, coautor do "Web Application Hacker’s Handbook". Leia mais sobre alignment faking: aqui.
https://www.linkedin.com/posts/marcuspinto1_external-reviews-of-alignment-faking-in-activity-7323613307293024257-h--j
Ainda continuando a saga do CVE
https://youtu.be/LRbHiB5Jn4k
https://youtu.be/LRbHiB5Jn4k
