O conteúdo desses caras é muito bom, eu particularmente sou fã.
Saiu episódio novo =)
https://www.youtube.com/watch?v=Ae4cR00P9LU
Saiu episódio novo =)
https://www.youtube.com/watch?v=Ae4cR00P9LU
Vaga para Pleno Application Security Consultant na Conviso.
https://convisoappsec.gupy.io/jobs/8952424
Via Danilo Costa (Linkedin)
https://www.linkedin.com/posts/danilomcosta_vagas-carreira-appsec-activity-7325914146842066945-phji
https://convisoappsec.gupy.io/jobs/8952424
Via Danilo Costa (Linkedin)
https://www.linkedin.com/posts/danilomcosta_vagas-carreira-appsec-activity-7325914146842066945-phji
Quando você é o dono de uma certificadora de cibersegurança kkk (O Heath da The Cyber Mentor / TCM)
Pessoal, o Vrech vai ser entrevistado hoje as 21hs tambem aqui:
https://m.youtube.com/watch?v=jBfDPT7-Vbc
https://m.youtube.com/watch?v=jBfDPT7-Vbc
Amir coded a vulnerable test bed, you can install and practice with it. He’s also found 2 ATOs and several in-exploitable places with these techniques. I really appreciate him for sharing his knowledge in this web application.
https://blog.voorivex.team/leaking-oauth-token-via-referrer-leakage
"The problem here is that Chrome applies a new referrer policy, which includes the complete referrer, including the OAuth token, etc. Taking advantage of this, the attacker will receive the token via the referrer header."
"The problem here is that Chrome applies a new referrer policy, which includes the complete referrer, including the OAuth token, etc. Taking advantage of this, the attacker will receive the token via the referrer header."
Talk amanhã, já coloca aí na sua agenda :)
🐝 Evento: VESPASTalks #1 - Bate papo com Matheus Vrech: Como o Brasil está conquistando espaço na DEFCON
📅 Data: 08 de maio (quinta-feira)
🕢 Horário: 19h30
📍 Transmissão ao vivo no Youtube: https://youtu.be/ATDVdphmzw4
🐝 Evento: VESPASTalks #1 - Bate papo com Matheus Vrech: Como o Brasil está conquistando espaço na DEFCON
📅 Data: 08 de maio (quinta-feira)
🕢 Horário: 19h30
📍 Transmissão ao vivo no Youtube: https://youtu.be/ATDVdphmzw4
Hoje está corrido aqui na Atta Cybersecurity e estou fazendo um pentest para um cliente, então o conteúdo hoje não vai ser tão mastigado, -engraçado que escrevo essa palavra enquanto almoço -, mas existem duas coisas rolando na net sobre dois vetores de ataque web:
1 - Um comportamento bizarro que aparentemente o Chrome ja foi advertido por outros pesquisadores para seguir o mesmo padrão de outros navegadores, mas ainda não o corrigiram.
O impacto é uma imagem de um site externo conseguir sobrescrever o referer policy atraves da devolucao de um novo valor na header de resposta a essa requisicao, mais especificamente com a chave link e o valor unsafe-url.
https://x.com/slonser_/status/1919439373986107814
2 - Aparentemente o Chromium recentemente tá aceitando ponto (.) no protocolo scheme, tipo ali onde digitamos http. Permitindo que sejam feitas coisas como urlpermitida://evil.com:
https://x.com/0xMstar/status/1918577367062331826
O dono da Shazzer fez esse teste em todos navegadores para comparar o comportamento entre eles:
https://shazzer.co.uk/vectors/6819f025851f9bdbee71b994
1 - Um comportamento bizarro que aparentemente o Chrome ja foi advertido por outros pesquisadores para seguir o mesmo padrão de outros navegadores, mas ainda não o corrigiram.
O impacto é uma imagem de um site externo conseguir sobrescrever o referer policy atraves da devolucao de um novo valor na header de resposta a essa requisicao, mais especificamente com a chave link e o valor unsafe-url.
https://x.com/slonser_/status/1919439373986107814
2 - Aparentemente o Chromium recentemente tá aceitando ponto (.) no protocolo scheme, tipo ali onde digitamos http. Permitindo que sejam feitas coisas como urlpermitida://evil.com:
https://x.com/0xMstar/status/1918577367062331826
O dono da Shazzer fez esse teste em todos navegadores para comparar o comportamento entre eles:
https://shazzer.co.uk/vectors/6819f025851f9bdbee71b994
