Pra quem não tá ligado, tenho um podcast que convido uma galera fera pra compartilhar sua experiência.

O Podcast se chama StreetCyber Cast

Resolvi criar uma página no site reunindo todos os já publicados em um só lugar <3

https://brunomenozzi.com/street-cyber-cast/
Bruno Menozzi aka Zeroc00i
Street Cyber Cast
🎧 Conversas Descomplicadas sobre Cibersegurança Seja bem-vindo ao Street Cyber Cast!
Aqui, quebramos a formalidade para falar de Segurança da Informação e Bug Bounty na moral.
Abaixo, confira os episódios mais recentes para não perder nenhuma dica, história…
Bruno Menozzi (Zeroc00I)
Pessoal, aproveitando que já to conhecendo um pouco mais de vocês e pedir 1 minuto de vocês para responder o que fez vocês entrar no grupo e o que tá mais gostando / sentindo falta https://forms.gle/PqafZiNEm9SsxHc49 (formulário anônimo, sem login) TMJ
Obrigado a todos que responderam até agora, vai ajudar bastante e melhorar o canal aqui.
Vou deixar aberto ainda para quem se esqueceu de responder
Pra quem quiser testar seus conhecimentos de descobertas de subdomínios: https://www.cloudsecuritychampionship.com/challenge/4
Tem um terminal no site, sem registro / login e com ferramentas instaladas
To começando a criar uma página com tricks de bash, para quem tiver interesse de acompanhar. Talvez as mais legais eu passe a postar aqui de vez em quando.

https://brunomenozzi.com/posts/bash-tricks/EOF/
Pessoal, aproveitando que já to conhecendo um pouco mais de vocês e pedir 1 minuto de vocês para responder o que fez vocês entrar no grupo e o que tá mais gostando / sentindo falta

https://forms.gle/PqafZiNEm9SsxHc49 (formulário anônimo, sem login)

TMJ
Bruno Menozzi (Zeroc00I)
Você já reportou algo em bugbounty?
Pra conhecer mais vocês 😁 e tambêm vocês saberem a galera que tem por aqui
Você já reportou algo em bugbounty?
Anonymous Poll
6%
Não, ainda não sei mt bem do que se trata
0%
Não, mas já ouvi falar algo sobre isso
19%
Não. Já ouvi falar algo sobre isso e to vendo de como começar
38%
Sim, mas uma ou por volta de três vezes, e não foi algo recompensado
6%
Sim, mas uma, três vezes, e FORAM pagas $$$
19%
Sim, algumas vezes e FORAM pagas $$$
13%
Sim, praticamente vivo disso.
0%
Sim, só vivo disso
Claro, isso depende da metodologia que tu escolhe pra bugbounty. Automação geralmente o hunter não vai focar nesses cenarios com chains / mais complexos. As vezes acaba reportando tudo de uma vez mesmo e já era. Bora para o próximo report.
Mas caso você prefira a opção de escolher poucos programas / estudar programas a longo prazo, isso vale demais.
Galera, fiquem ligados em não simplesmente reportar open redirects sem impacto para os programas de bugbounty e no máximo eles pagarem pra vocês um bounty low.
Conforme o tempo passa, você pode ficar mais seguro de guardar esses low hanging fruits (vulnerabilidades bobinhas) para somar elas e fazer uma chain (cadeia) de vulnerabilidade massa

Por exemplo, se você achar um SSRF e a empresa mitigar com uma allow list só de dominios dela... Você usa o open redirect e ganha o bounty de SSRF novamente, pelo bypass do fixing =)
Galera, quem estiver contratando (ou souber quem) para área de cybersec e quiser me mandar link para divulgar aqui, pode mandar DM =)
Já temos uma boa quantidade de gente para ter essa troca
"Essa API tem uma vulnerabilidade de serialização de objeto"
Para ler depois ++:

https://datadome.co/threat-research/how-new-headless-chrome-the-cdp-signal-are-impacting-bot-detection/#:~:text=Provoking%20Object%20Serialization
DataDome
How New Headless Chrome & the CDP Signal Are Impacting Bot Detection
How New Headless Chrome & the CDP Signal Are Impacting Bot Detection
Learn how the new Headless Chrome's near-perfect fingerprint and the CDP signal have impacted bot detection recently.
O thermoptic se destaca de outras ferramentas de scraping por sua abordagem única e técnica. Frameworks de automação como Puppeteer e Selenium são facilmente detectados mesmo com o uso de plugins como puppeteer-extra-plugin-stealth, pois a lógica de detecção é um jogo de gato e rato.

O thermoptic resolve isso na raiz, evitando as flags de automação, como navigator.webdriver, que denunciam esses frameworks.

Ele atua como um HTTP proxy que camufla todas as requisições para que pareçam vir de um navegador Chrome real, replicando um fingerprint completo em camadas como TLS, HTTP e DNS.

Isso é crucial para evitar que serviços de segurança detectem a "troca de cliente", que ocorre quando se inicia a navegação com um navegador e depois muda para um cliente HTTP de baixo nível, como o curl.

Para contornar CAPTCHAs como o Cloudflare Turnstile, ele utiliza "hooks", que são scripts que automatizam o navegador. O grande diferencial é que esses hooks evitam a detectável Runtime API do Chrome Debugging Protocol (CDP), frequentemente usada para injetar JavaScript (ex: document.querySelector().click()), pois essa API tem uma vulnerabilidade de "serialização de objeto" que denuncia a automação.

Em vez disso, o thermoptic opta por APIs de baixo nível (Target, Page, DOM, Input). Isso permite que ele simule clicks e interações de usuário de forma mais autêntica, inclusive adicionando "ruído" (fuzzing) às coordenadas e tempos para não parecer robótico e evitar a complexidade de shadow-DOMs e iframes aninhados.

https://github.com/mandatoryprogrammer/thermoptic/blob/main/tutorials/turnstile/cloudflare-turnstile-bypass.md
Hoje estamos em modo slow por aqui. Motivo: dia da celebração da Revolução Farroupilha. Pra quem não sabe, sou do Rio Grande do Sul.
E a gente gosta tanto do nosso estado que até o final de uma festa de funk seria assim:

https://x.com/blognaointendo/status/1968615991417475209?s=46

Abç 🥳😂
X (formerly Twitter)
Não Intendo (@blognaointendo) on X
Ganhou o público
Zeroc00i News & Tricks
Curte estudar windows? A Compass Security ta fazendo uma saga que tá parecendo muito promissora. Eu vou assistir esses vídeos ainda. São vídeos com um deep dive de quase 2 horas cada Kerberos Deep Dive Part 1 - Introduction https://www.youtube.com/watch?v=pzrtfRpPVM4…
Saiu a parte 6

E já acresci na página dedicada a essa série =)

https://brunomenozzi.com/posts/kerberos-series/
https://lab.ctbb.show/research/Exploiting-web-worker-XSS-with-blobs

O critical thinking tá incentivando pesquisas web e remunerando quem submeter.

Já tem uma micro pesquisa massa:
https://lab.ctbb.show/research/Exploiting-web-worker-XSS-with-blobs
Compartilhando um link vindo pelo @joaovitormaia

https://blog.babelo.xyz/posts/cross-site-subdomain-leak/


O artigo demonstra um ataque chamado XSS-Leak que vaza subdomínios e redirecionamentos de outros sites em navegadores baseados no Chromium. Ele explora uma característica do gerenciamento de conexões do Chrome: quando duas requisições de mesma prioridade competem pelo último socket disponível, o navegador executa primeiro a que tiver o host lexicograficamente menor (ex: a.com antes de `b.com`).

O exploit funciona da seguinte forma:
1. O atacante usa um script para ocupar 255 dos 256 sockets de conexão do navegador, deixando apenas um livre. Isso é feito com a função exhaust_sockets().
2. A página da vítima é acionada para fazer uma requisição a um subdomínio secreto que se deseja vazar (ex: `http://<flag_secreto>.alvo.com`).
3. Imediatamente, o atacante faz uma requisição de teste para um subdomínio que ele controla e está tentando adivinhar (ex: `http://<palpite>.atacante.com`).
4. As duas requisições (da vítima e do atacante) competem pelo último socket livre.
5. Ao medir o tempo de resposta da sua própria requisição, o atacante descobre qual foi executada primeiro. Se a requisição do atacante foi rápida, significa que seu subdomínio <palpite> é lexicograficamente menor que o <flag_secreto>.
6. Esse processo é repetido em uma busca binária, caractere por caractere, até vazar o subdomínio completo.

O código central do ataque realiza essa comparação:


async function test(leak, w, threshold){
    // ... setup ...
    // Aciona a requisição da vítima para o subdomínio secreto
    w.location = `${TARGET}#b`;
    await sleep(100);
    
    // Testa um caractere (`mid`) para o subdomínio
    let mid = charset[midIndex];
    let promise1 = fetch_leak(leak + mid, threshold); // Requisição do atacante
    
    await sleep(100);
    res_blocker_controller.abort(); // Libera um socket para a competição começar
    
    // Verifica qual requisição terminou primeiro para ajustar a busca binária
    let is_lower = !(await promise1);
    // ...
}


Usando essa técnica, o autor demonstrou vazar o flag flag{gj2e4syr1ght?} em 70 segundos. O mesmo método é aplicado para descobrir o destino de um redirecionamento, permitindo identificar se um usuário é admin ou user com base no subdomínio para o qual ele é redirecionado após o login.
#video

O xnl_hacker, autor do waymore (uma versão com esteroides do waybackurls) publicou um vídeo de 2 horas de uma apresentação que fez no discord falando sobre a ferramente:

https://youtu.be/hMaYSi9ErnM

Tweet: https://x.com/xnl_h4ck3r/status/1968356585291624832?s=46
YouTube
videos[2] = "waymore talk (March '24)"
A talk I did for Jason Haddix's discord channel back in March 2024 to cover EVERYTHING you need to know about the tool "waymore" (there may be later updates that aren't covered in the talk).

Waymore retrieves archived endpoints from the Wayback Machine,…
video
Before
After
Back to Top