Dando uma sacada na intenção dele quando foi implementado para entender qual a intenção ele visava atender, confirmou o cenário que o próprio nome resume: Quando tiver violações de CSP na página, o evento é "trigado"/hookado.
1. Acredito existir dois cenários aqui:
Ou a PortSwigger não atualiza a lista de payloads conforme existem atualizações dos navegadores, trazendo novos eventos (o que acho improvável)
2. Ou eles não colocam alguns eventos pois dependem do contexto.
E esse segundo cenário me chama muito a atenção: Se um evento não está sendo largamente conhecido, talvez as chances do WAF detectá-lo como algo nocivo sejam menores. Outra questão é que não é raro vermos violações de CSP por descuido dos desenvolvedores. Fica uma anotação pessoal registrada para testar num cenário futuro.
Fiz um diff entre os listeners da Portswigger e do navegador e encontrei alguns outros, entre eles o onsecuritypolicyviolation
Tópico: bypass de XSS
Eu tava dando uma comparada aqui de curiosidade entre os listeners disponibilizados pela Portswigger, página muito usada pra construção de bypass pra waf (aqueles cenarios quando onerror, onload não são o suficiente por que tem um Akamai vendo qualquer palavra nociva) e reconheci uma parada:
Que talvez o mais eficiente seria pegar os listeners que o navegador já possui por default, o que nos daria uma lista mais atualizada, no mínimo.
O termo "dupla extorsão" faz com que as gangues de ransomware pareçam inovadoras, mas, na realidade, é uma escalada básica: "Você não vai pagar para recuperar seus dados? Tudo bem, pague para que não os vazemos."
Não é um salto à frente, é o que os extorsionários sempre fizeram. A única razão pela qual parece novo é que enquadramos o ransomware de forma muito restrita durante anos, ignorando que a maior parte dele sempre foi sobre escalação, não criptografia.
[+]https://github.com/roundcube/roundcubemail/commit/7408f31379666124a39f9cb1018f62bc5e2dc695
Esse site fala mais a fundo a origem da vala do CVE-2025-49113:
https://threatsbank.com/critical-roundcube-vulnerability-enables-remote-code-execution-via-deserialization-flaw/
Roundcube ≤ 1.6.10 Post-Auth RCE via PHP Object Deserialization | CVE-2025-48745
Kirill Firsov discovered a Post-authentication RCE in Roundcube Webmail (v1.1.0 till current 1.6.10) that has existed unnoticed for 10 years, and which affects over 53 Million hosts (and tools like cPanel, Plesk, ISPConfig, DirectAdmin, etc.).
POC is not available yet.
[+] https://fearsoff.org/research/roundcube
https://www.youtube.com/watch?v=TBkTbMJWHJY
Kirill Firsov discovered a Post-authentication RCE in Roundcube Webmail (v1.1.0 till current 1.6.10) that has existed unnoticed for 10 years, and which affects over 53 Million hosts (and tools like cPanel, Plesk, ISPConfig, DirectAdmin, etc.).
POC is not available yet.
[+] https://fearsoff.org/research/roundcube
https://www.youtube.com/watch?v=TBkTbMJWHJY
A meta está convidando pro programa de bugbounty deles através de um formulário pra testar o Meta Quest, dispositivo de realidade virtual
https://docs.google.com/forms/d/e/1FAIpQLSeBA40zlAaEg2TF1-WMUBZkA0791NDZlLSrev1qGKHdygUGPw/viewform?pli=1
Post original: https://www.linkedin.com/posts/samuel-cohen-817896198_meta-bug-bounty-is-looking-for-experienced-activity-7334178923246743553-6ls8
A empresa é essa: https://ssd-labs.com/
E essa solução foi apresentada na TyphoonCon 2025 (May 26-30, 2025 in Seoul, South Korea). Existe um formulário de cadastro p/ acesso à esse recurso no site dessa empresa, para os interessados.
https://x.com/SecuriTeam_SSD/status/1927650973054341592
https://www.linkedin.com/posts/dlaskov_automotive-hacking-contest-activity-7334624976899080193-hQ9W
Fonte: https://cybersecuritynews.com/deloitte-data-breach/
Dados seriam anonimizados. Mas o Discord alegou violação dos seus termos, mesmo sendo uma API oficial e dados públicos.
Um especialista considerou a coleta legítima.
Isso questiona: se uma API expõe dados públicos, pesquisadores podem usá-la?
Qual sua visão sobre a postura do Discord diante dessa prática comum entre desenvolvedores e pesquisadores?
Compartilha o que tu pensa no post que fiz no linkedin!
Post: https://www.linkedin.com/posts/activity-7333929352063062016-y4Eg
Fonte: https://olhardigital.com.br/2025/05/26/seguranca/pesquisa-coleta-bilhoes-de-mensagens-no-discord-e-plataforma-alega-violacao/
404 on /get_all_userz
Then Rhynorater fuzzed until a double-encoded “S” slipped past the NGINX filter.
✅ 200 on /get_all_user%2573
Result: 4.5M users' PII dumped.
Bounty: $15K–$20K
Quando eu falo que existe uma leva cada vez maior de gente tendo acesso a credenciais vazadas e usando isso em seu benefício, eu to falando real.
Um exemplo agora no telegram. Fiz um link para a conversa.
Um exemplo agora no telegram. Fiz um link para a conversa.
