Caido Plugin!
---
Bug bounty, but multiplayer.
Drop is a new Caido plugin by Justin that lets you share scopes, replay tabs, and match & replace rules with your friends.
No more copy-pasting massive chunks of data.
Just head to Plugins > Community Store > Drop, install it and add your friends.
Then just Drop them a message.
Check out the demo and let us know what you think!
Link do post no linkedin: https://www.linkedin.com/posts/ctbbpodcast_bug-bounty-but-multiplayer-drop-is-activity-7328795207150325761-Suwd
---
Bug bounty, but multiplayer.
Drop is a new Caido plugin by Justin that lets you share scopes, replay tabs, and match & replace rules with your friends.
No more copy-pasting massive chunks of data.
Just head to Plugins > Community Store > Drop, install it and add your friends.
Then just Drop them a message.
Check out the demo and let us know what you think!
Link do post no linkedin: https://www.linkedin.com/posts/ctbbpodcast_bug-bounty-but-multiplayer-drop-is-activity-7328795207150325761-Suwd
👉 Confirma presença aqui: https://h1.community/events/details/hackerone-brazil-hackerone-club-presents-bounty-talks/
Post no linkedin: https://www.linkedin.com/posts/arthur-aires-93388211b_bounty-talks-hackerone-community-activity-7328784923178233857-5EOw
Email da PortSwigger:
Conheça o Burp Suite DAST amanhã (15 mai. 2025 12:00)
Junte-se a nós para uma análise exclusiva do Burp Suite DAST, a solução de nível empresarial, desenvolvida com base no scanner líder mundial que alimenta o Burp Suite Professional, o kit de ferramentas preferido dos pentesters.
Seja você um líder de AppSec, engenheiro de DevSecOps ou arquiteto de segurança, esta é uma demonstração ao vivo que você não vai querer perder.
📅 Data: Quinta-feira, 15 de maio
🕒 Horário: 12 hs (meio dia)
Link: https://go.portswigger.net/e/1066743/0265-WN-v45tnWJ5Tey51DtZgq7gqQ/fg6tt1/1282955307/h/8j7gLGSDFuR2JOAzeMGWsfqEniAvvT0i-aRWIz_-PH0
Conheça o Burp Suite DAST amanhã (15 mai. 2025 12:00)
Junte-se a nós para uma análise exclusiva do Burp Suite DAST, a solução de nível empresarial, desenvolvida com base no scanner líder mundial que alimenta o Burp Suite Professional, o kit de ferramentas preferido dos pentesters.
Seja você um líder de AppSec, engenheiro de DevSecOps ou arquiteto de segurança, esta é uma demonstração ao vivo que você não vai querer perder.
📅 Data: Quinta-feira, 15 de maio
🕒 Horário: 12 hs (meio dia)
Link: https://go.portswigger.net/e/1066743/0265-WN-v45tnWJ5Tey51DtZgq7gqQ/fg6tt1/1282955307/h/8j7gLGSDFuR2JOAzeMGWsfqEniAvvT0i-aRWIz_-PH0
Bug Bounty Virou Alvo de Golpistas com IA!
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um "pesquisador" mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
O esquema é simples: o relatório parece técnico, mas quando a equipe pede detalhes específicos (ex: "mostre onde tá essa função no código"), o scammer desiste ou inventa mais mentira. É pura enrolação automatizada.
Projetos open-source (Python, urllib3) já tão cansados de perder tempo checando lixo gerado por IA. E se plataformas como HackerOne não banirem esses perfis rápido, a credibilidade do bug bounty vai pro ralo.
Resumo da ópera: IA tá sendo usada pra poluir programas de recompensa com relatórios fake. Empresas precisam de equipes técnicas pra não cair nesse golpe.
Fonte: Sarah Gooding, Socket Security (06/05/2025).
https://socket.dev/blog/ai-slop-polluting-bug-bounty-platforms
Relatórios falsos gerados por IA estão entupindo plataformas como HackerOne. Criminosos usam ChatGPT e afins pra criar textão técnico cheio de termos fictícios (funções que não existem, patches imaginários) e tentar lucrar com recompensas.
Caso recente: Um "pesquisador" mandou um report pro projeto curl citando commits inexistentes e falhas irreproduzíveis. A equipe do curl, que manja do código, detectou a farsa na hora. Mas outras empresas, sem expertise, pagam pra evitar stress – virou caixa fácil pra golpistas.
O esquema é simples: o relatório parece técnico, mas quando a equipe pede detalhes específicos (ex: "mostre onde tá essa função no código"), o scammer desiste ou inventa mais mentira. É pura enrolação automatizada.
Projetos open-source (Python, urllib3) já tão cansados de perder tempo checando lixo gerado por IA. E se plataformas como HackerOne não banirem esses perfis rápido, a credibilidade do bug bounty vai pro ralo.
Resumo da ópera: IA tá sendo usada pra poluir programas de recompensa com relatórios fake. Empresas precisam de equipes técnicas pra não cair nesse golpe.
Fonte: Sarah Gooding, Socket Security (06/05/2025).
https://socket.dev/blog/ai-slop-polluting-bug-bounty-platforms
Socket
AI Slop Is Polluting Bug Bounty Platforms with Fake Vulnerab...
AI-generated slop reports are making bug bounty triage harder, wasting maintainer time, and straining trust in vulnerability disclosure programs.
Saiba mais em: https://boletimsec.com.br/ceo-da-crowdstrike-doa-us-1-bilhao-em-acoes-e-abandona-o-controle-da-empresa/
Nas últimas postagens aqui, temos falado muito de IA e MCP
Esse artigo aqui mostra que os pesquisadores identificaram que você rodando normalmente o Google Chrome, as extensões, mesmo com sandbox ativo, ainda conseguem se comunicar com o localhost e chamar um MCP que você por engano deixou ativo.
O impacto é uma execução remota de código, provavelmente sem você nem se dar conta:
https://www.infosecurity-magazine.com/news/chrome-extension-ai-engine-act-mcp/
Nesse caso aí não foi nenhum bad actor explorando, mas já enxergaram esse vetor. É questão de tempo pra gente ser obrigado a aprender esses security flaws by design para mitigar ataques que estão por vir através do uso do MCP.
Esse artigo aqui mostra que os pesquisadores identificaram que você rodando normalmente o Google Chrome, as extensões, mesmo com sandbox ativo, ainda conseguem se comunicar com o localhost e chamar um MCP que você por engano deixou ativo.
O impacto é uma execução remota de código, provavelmente sem você nem se dar conta:
https://www.infosecurity-magazine.com/news/chrome-extension-ai-engine-act-mcp/
Nesse caso aí não foi nenhum bad actor explorando, mas já enxergaram esse vetor. É questão de tempo pra gente ser obrigado a aprender esses security flaws by design para mitigar ataques que estão por vir através do uso do MCP.
From Day Zero to Zero Day
A Hands-On Guide to Vulnerability Research
https://nostarch.com/zero-day
Ebook, $47.99
Print Book (PREORDER) and EARLY ACCESS Ebook, $59.99
Talk dele:
THREAT CON 2022- Automation for Manual Bug Bounty Hunters By Eugene Lim (spaceraccoonsec)
https://www.youtube.com/watch?v=DlTWet7JcKk&ab_channel=THREATCON
https://spaceraccoon.dev/
https://www.youtube.com/watch?v=8luBKcy6Xjc
Tu pode conferir aqui:
https://www.linkedin.com/posts/activity-7326668848777052160-w1G-
O conteúdo desses caras é muito bom, eu particularmente sou fã.
Saiu episódio novo =)
https://www.youtube.com/watch?v=Ae4cR00P9LU
Saiu episódio novo =)
https://www.youtube.com/watch?v=Ae4cR00P9LU
