A simplier implementation of a Damn Vulnerable MCP Server that adds two or more numbers

https://github.com/pfelilpe/DVMCP

GitHub

GitHub - pfelilpe/DVMCP: Damn Vulnerable MCP

Damn Vulnerable MCP. Contribute to pfelilpe/DVMCP development by creating an account on GitHub.

Outra parada dahora sobre conteúdos, que um ex-colega de trabalho fez:
https://infosectalks.com/

Live Hacking Talks de 4 meses atras, mas vale a pena:
https://www.youtube.com/live/BKXfrNwrcqQ

YouTube

Intigriti CTF 2024 - 1337 UP - Live Hacking Talks

Join Us for an Exciting Live Event! https://www.intigriti.com/intigriti-ctf-2024
📅 14th November 2024 | 🕒 2:00 PM UTC

Mark your calendars for our Capture The Flag (CTF) competition: https://ctf.intigriti.io
📅 15th November 2024 | 🕦 11:59 AM UTC (36 hours…

Ama Link

https://www.reddit.com/r/cybersecurity/comments/1jtieox/we_are_hackers_researchers_and_cloud_security/

Security BSides São Paulo (BSidesSP) 2025
Os ingressos foram liberados as 15hs do dia 10/04/25
17 mai - 2025 • 14:30 > 18 mai - 2025 • 20:00

Evento presencial em Hotel Nacional Inn Jaraguá São Paulo by Nacional Inn, São Paulo - SP

https://www.sympla.com.br/evento/security-bsides-sao-paulo-bsidessp-2025/2909027

A dica do dia é de vez em quando dar uma navegada pelo repositório da Project Discovery.

Já usou o nuclei, katana, subfinder, nuclei httpx, naabu? Tudo ferramenta desenvolvida por esse time.

Só que tem muito mais. Eles tem várias ferramentas que não foram pro mainstream e que são muito uteis.

Então antes de sair desenvolvendo algo do zero, dá uma sacada lá.

Pra quem conhece o interact-sh via terminal, por exemplo, eles tem até a versão web:

Publicado há 1 hora
https://www.youtube.com/watch?v=w1J01QNT5cY

YouTube

ANCHISES & BORDINI - UMA VIAGEM PELA HISTÓRIA DA BSIDES SP! #139

SEJAM BEM-VINDOS AO 139° EPISÓDIO DO TECSEC PODCAST 🎙️💡

No episódio desta semana, vamos falar sobre um dos maiores eventos da comunidade de cibersegurança da cidade de São Paulo: a BSIDES.

Anchises Moraes e Thiago Bordini, membros da organização do evento…

Episode 118 is out! In this episode Justin and Joseph discuss security news including clientside tidbits, "Credentialless" iframes, prototype pollution, and polyglots in llms.txt

https://www.youtube.com/watch?v=DWczX_1t_x4

YouTube

Hacking Happy Hour: 0days on Tap and SQLi Shots (Ep. 118)

Episode 118: In this episode of Critical Thinking - Bug Bounty Podcast Justin and Joseph cover a host of news and writeups, including clientside tidbits, “Credentialless” iframes, prototype pollution, and what constitutes a polyglot in llms.txt.

Follow…

quem tiver on e tiver a fim de entrar no grupo da um ping ai
Estamos resolvendo agora pelo telegram mesmo, so por texto

CTF da Intigriti rolando
First Blood: 50 Euros | Melhor WriteUp: 50 Euros
Cada flag ganha vale também!

O link do CTF é https://hackdonalds.intigriti.io/

Começou em: 7/4
Finaliza em: 14/04

Um grande amigo e um grande bugbunter!
Compartilho com vocês essa talk do Arthur Aires envolvendo o tópico de desserialização insegura e alguns bypasses envolvidos :)
Faz mais de um mês que ocorreu mas você pode ainda não ter visto esse ótimo conteúdo. Te garanto.

https://youtu.be/2-_CEVtirpI?si=_mxAkTlFDjo1vjxU

YouTube

🔥 OWASP BH: Hacking a Bank Without Leaving Your Bedroom

🎯 Sobre a Palestra
Nesta palestra, Arthur compartilhará suas experiências e insights sobre como é possível explorar vulnerabilidades e os caminhos para fortalecer a segurança de sistemas financeiros sem sair do conforto de casa.

👨‍💻 Sobre o Palestrante
Arthur…

A Google lançou sua IA que contrói sites com integração nativa com serviços Firebase (Firestore, Auth)!

O Firebase Studio.

At the Google Cloud Next Conference 2025 in Las Vegas, the company announced a new Firebase Studio, which aims to refine its mobile development platform, Firebase, into an end-to-end platform to accelerate the complete application lifecycle.

Firebase Studio is a cloud-based agentic development environment powered by Gemini

https://firebase.google.com/docs/studio
https://firebase.blog/posts/2025/04/introducing-firebase-studio
https://analyticsindiamag.com/ai-news-updates/devs-rejoice-googles-new-firebase-studio-helps-build-agentic-ai-apps/

https://www.bugcrowd.com/blog/remote-code-execution-rce-101

RCE em AEM por bypass do Dispatcher.
O pesquisador acessou o GroovyConsole adicionando extensão .gif ao caminho (/etc/groovyconsole/jcr.html/aa3.gif#).
Comandos diretos foram bloqueados, então desenvolveu script alternativo para exfiltrar variáveis de ambiente e listar diretórios

Bugcrowd

Remote code execution (RCE) 101 | @Bugcrowd

I like to think of RCE not just as a bug but as an impact. Why? Because there are numerous ways—literally 1001—to achieve RCE. The initial foothold for an RCE attack can vary significantly, ranging from unrestricted file uploads and command injection to SQL…

Tá ligado que a flag -t no ffuf controla workers (paralelismo), não o ritmo das requisições?

Usar "-t 10" é como ter 10 atendentes em uma lanchonete fazendo pedidos ao mesmo tempo. Se o sistema responder rápido (tipo APIs cloud), vira um tsunami: 300+ requests/segundo sem querer, e lá se vai seu bounty ou seu modo stealth.

"Ué, Zero, como ajusto isso sem perder eficiência?"
Bota o -rate pra controlar a concorrência! Se o limite é 3 requests/segundo, use -rate 3. É o gerente falando "só 3 pedidos por segundo" pros 10 atendentes.

Na prática:

-t: quantos "braços" trabalham em paralelo.

-rate: quantas ações todos braços podem fazer por segundo.

#DicaQuente: Junte os dois e evite derrubar o cliente ;)

Os gray bots (robôs cinzentos) tão bombando com a IA generativa e invadindo sites feito loucos.

Segundo a Barracuda, geram até 500 mil solicitações FALSAS por dia — e tem app que levou 9,7 milhões de requests em 1 mês. Os piores são o ClaudeBot e o Bytespider (do TikTok), que confundem tráfego humano com bot.

Se quiser mais detalhes: https://blog.barracuda.com/2025/04/02/threat-spotlight-gray-bots-gen-ai-scraper-bots-targeting-web-apps