O inicio da transmissão vai ser as 13hs (GMT-3), nesse link aqui:
https://www.youtube.com/watch?v=OOwu6a74v80&ab_channel=NahamSec
Aproveitem, são varios nomes da área de infosec e o evento é gratuito. Vou estar ansioso com meu cafézinho assistindo. Bora
Se a engenharia social, por explorar vulnerabilidades humanas, não é considerada hacking por alguns, então técnicas como deepfakes ou manipulação de IA para enganar pessoas em sistemas altamente automatizados deveriam ser classificadas como hacking ou como algo completamente novo?
Opa estava na correria e esqueci de contextualizar
Um pesquisador notou que ao fazer uma ligação para uma pessoa, dados eram recebidos do provedor. Ele achou um padrão de encoding usando hexadecimal em tres partes e com isso conseguia localizar qualquer pessoa do provedor O2 com uma simples chamada. A empresa recebeu o relatório e fez a correção.
Um pesquisador notou que ao fazer uma ligação para uma pessoa, dados eram recebidos do provedor. Ele achou um padrão de encoding usando hexadecimal em tres partes e com isso conseguia localizar qualquer pessoa do provedor O2 com uma simples chamada. A empresa recebeu o relatório e fez a correção.
2025-05-18 - BSIDES SP - Automatizando a Proteção de Aplicações Web
https://youtu.be/Y9KBu9ohF_o?si=ByCE_uCNZTvtapie
https://youtu.be/Y9KBu9ohF_o?si=ByCE_uCNZTvtapie
We Won Google's AI Hacking Event in Tokyo - Main Takeaways (Ep.122)
https://www.youtube.com/watch?v=T0N-H6B9r5g&ab_channel=CriticalThinking-BugBountyPodcast
https://www.youtube.com/watch?v=T0N-H6B9r5g&ab_channel=CriticalThinking-BugBountyPodcast
Você pode assistir aqui: https://youtu.be/ge2sgShzhxk
Fonte: https://www.linkedin.com/posts/abhisek-r_my-first-podcast-episode-is-now-live-had-activity-7329513780558680064-6UVj
Ementa que fiz para ver todos conteúdos de forma compactada:
🔹 Capítulo 1: Introdução a APIs (10 aulas) - Definição de APIs, SOAP vs REST (2 aulas), Autenticação/Autorização (OAuth 2.0, Basic Auth, API Keys - 5 aulas), Arquiteturas, Documentação, Exercícios (MCQ e assignments).
🔹 Capítulo 2: Ferramentas para APIs (4 aulas) - cURL, Postman, SoapUI, Python (fuzzing incluso).
🔹 Capítulo 3: OWASP API Top 10 2019 (22 aulas) - Explicação teórica (A01-A10: BOLA, Broken Auth, Mass Assignment, etc.) + 12 demonstrações práticas.
🔹 Capítulo 4: OWASP API Top 10 2023 (10 aulas) - Novas vulnerabilidades: BOLA, Broken Object Property Auth, Server Side Request Forgery, etc.
🔹 Capítulo 5: Documentação de Pentest (5 materiais) - Planos de teste, relatórios, reuniões de debriefing + exemplos (modelos de relatório e plano).
🔹 Capítulo 6: Firewalls de API (6 materiais) - Instalação, bypass de firewalls, boas práticas de segurança (PDFs e demonstração em vídeo).
🔹 Capítulo 7: Construção de APIs Vulneráveis (7 partes) - Exercícios práticos (lógica de negócio, injeção, autenticação quebrada) + PDFs explicativos.
🔹 Capítulo 8: Máquinas de Prática (4 arquivos) - Laboratórios Docker, aplicações de exemplo (Cheese Store) + scripts para exames.
🔹 Extras (Capítulo 99) - Vídeo introdutório sobre hacking de APIs (05APR25 - CC4).
🔹 Capítulo 1: Introdução a APIs (10 aulas) - Definição de APIs, SOAP vs REST (2 aulas), Autenticação/Autorização (OAuth 2.0, Basic Auth, API Keys - 5 aulas), Arquiteturas, Documentação, Exercícios (MCQ e assignments).
🔹 Capítulo 2: Ferramentas para APIs (4 aulas) - cURL, Postman, SoapUI, Python (fuzzing incluso).
🔹 Capítulo 3: OWASP API Top 10 2019 (22 aulas) - Explicação teórica (A01-A10: BOLA, Broken Auth, Mass Assignment, etc.) + 12 demonstrações práticas.
🔹 Capítulo 4: OWASP API Top 10 2023 (10 aulas) - Novas vulnerabilidades: BOLA, Broken Object Property Auth, Server Side Request Forgery, etc.
🔹 Capítulo 5: Documentação de Pentest (5 materiais) - Planos de teste, relatórios, reuniões de debriefing + exemplos (modelos de relatório e plano).
🔹 Capítulo 6: Firewalls de API (6 materiais) - Instalação, bypass de firewalls, boas práticas de segurança (PDFs e demonstração em vídeo).
🔹 Capítulo 7: Construção de APIs Vulneráveis (7 partes) - Exercícios práticos (lógica de negócio, injeção, autenticação quebrada) + PDFs explicativos.
🔹 Capítulo 8: Máquinas de Prática (4 arquivos) - Laboratórios Docker, aplicações de exemplo (Cheese Store) + scripts para exames.
🔹 Extras (Capítulo 99) - Vídeo introdutório sobre hacking de APIs (05APR25 - CC4).
Eu tinha um pé atrás com os conteúdos do XSSRAT por algum motivo, mas paguei pra ver e coloquei o cupom gratuito que tá rolando sobre essas vídeo aulas de API dele e a ementa parece ser muito boa. São 115 lições.
Já reservei o meu pra quando tiver tempo porque quero estudar mais sobre misconfigurations em Oauth.
Cupom: FEWSDVFVDSF
Link: https://thexssrat.podia.com/capie-lesson-material-no-cert
Fiquei sabendo por esse perfil no linkedin (creditos): https://www.linkedin.com/posts/dharamveer-prasad-64126a231_share-dont-be-selfish-dont-think-only-activity-7329809749749731328-tAZY
Proxychains:
Redireciona tráfego via proxy (ex: Tor) usando
LD_PRELOAD para interceptar chamadas de rede.Limitações:
- Não funciona com binários estáticos ou apps que usam syscalls diretas (ex: Zig).
- Risco de vazamentos se o app contornar libc.
Oniux:
- Isolamento kernel-enforced: apps maliciosos/não confiáveis não podem vazar, mesmo com syscalls brutas.
- Compatível com qualquer aplicativo (GUI, shells, etc.).
Instalação:
cargo install --git https://gitlab.torproject.org/tpo/core/oniux oniux@0.4.0 Fontes:
https://www.bleepingcomputer.com/news/security/new-tor-oniux-tool-anonymizes-any-linux-apps-network-traffic/
https://blog.torproject.org/introducing-oniux-tor-isolation-using-linux-namespaces/
🗽 Link para todas entrevistas
👉 EP01 - Zeroc00i & Ana (Advogada contratualista) | 🗓️ 20 Outubro (https://spotifyanchor-web.app.link/e/Z68Q0FwNVNb)
👉 EP02 - Conversa com o Arthur Aires | 🗓️ 2 Novembro (https://spotifycreators-web.app.link/e/OW8VDM2MuOb)
👉 EP03 - Conversa com o Gustavo Oliveira (fepame) | 🗓️ 13 Novembro (https://spotifycreators-web.app.link/e/Lw4DTOI2GOb)
👉 EP04 - Conversa com o Matheus Lambert @matheus_wnc | 🗓️ 21 Novembro (https://creators.spotify.com/pod/show/bruno-m268/episodes/Conversa-com-o-Matheus-Lambert-e2ra3ei)
Voltaremos a entrevistar e publicar um novo episódio nos próximos dias!
Clica no link a seguir que mandará uma mensagem com seu interesse em conhecer mais sobre nossos serviços. Tudo sem compromisso de venda, prometemos.
👉 https://bit.ly/attacybersececompliance
Hacker egoísta? Se curte os posts de bug bounty e offsec aqui, mas não compartilhou o canal, talvez seja só tímido!
Nós sabemos: hackers adoram stealth mode, mas compartilhar o link quebra a timidez e fortalece a comunidade.
Juntos, descobrimos vulnerabilidades (e amizades) que sozinhos passariam batidas.
Espalhe o conhecimento — não precisa ser um exploit, um DM basta. Afinal, até os melhores pentesters precisam de um network humano
A gente te ajuda nessa. Link pro grupo:
https://t.me/zeroc00i_news
Nós sabemos: hackers adoram stealth mode, mas compartilhar o link quebra a timidez e fortalece a comunidade.
Juntos, descobrimos vulnerabilidades (e amizades) que sozinhos passariam batidas.
Espalhe o conhecimento — não precisa ser um exploit, um DM basta. Afinal, até os melhores pentesters precisam de um network humano
A gente te ajuda nessa. Link pro grupo:
https://t.me/zeroc00i_news
Obrigado, Alexandre (permitiu disclosure do nome), por ter reportado que o link tava quebrado!
✅ Link corrigido
✅ Link corrigido
