Link p/ o XSS #5:
https://brunomenozzi.com/desafios/xss5_hgs89h.php
Aquele mesmo esquema: provocando um alert, já resolveu o desafio. Manda um print aqui.
Quer ir mais além? Tente fazer um alert(document.domain)
Boa sorte!
https://brunomenozzi.com/desafios/xss5_hgs89h.php
Aquele mesmo esquema: provocando um alert, já resolveu o desafio. Manda um print aqui.
Quer ir mais além? Tente fazer um alert(document.domain)
Boa sorte!
O grupo VIP recebeu ha quase 1h o desafios de XSS #5 e também vai receber um vídeo completo indo a fundo nos estudos que envolvem a resolução dele.
+ Infos do grupo VIP:
https://brunomenozzi.com/group-invitations/grupo-vip/
O desafio gira em torno de um tema muito interessante para se destacar naqueles alvos de bugbounty que muitos hunters ou pentesters desistem por achar que está bem mitigado!
Hey Yo, calma aí, a gente aqui não vai deixar tu de fora dessa festa!
O grupo aqui também vai ter acesso a esse minilab em específico em breve. Stay tuned.
Note: Essa pic do zeroc00i parecendo o Hulk eh a imagem do grupo VIP hahaha
TMJ
Só nas últimas 24 horas, tivemos 116 acessos únicos no blog http://brunomenozzi.com/
(já desconsideradas as botnets hahah)
Obrigado a todos que estão acompanhando os posts aí =)
(já desconsideradas as botnets hahah)
Obrigado a todos que estão acompanhando os posts aí =)
1 de Agosto de 2025
A Iniciativa Zero Day está oferecendo uma recompensa de US$ 1 milhão para pesquisadores de segurança que demonstrarem um exploit zero-click no WhatsApp em seu próximo concurso de hacking Pwn2Own Ireland 2025
Ref: https://caveiratech.com/post/pwn2own-irlanda-busca-falhas-no-whatsapp-4752682
-> Eu não tenho certeza se já acharam ou é o melhor time para achar vulnerabilidades desse tipo, mas vai acontecer LIVE disso agora do dia 21 de outubro atê 24. Fiquem ligados, conteúdo foda.
Link das Lives:
https://x.com/thezdi/status/1980330582992097491
https://zeroc00i-myfingerprint.static.hf.space/index.html
Cara, tu já pensou que quando tu abre um site, ele tem acesso a uma infinidade de singularidades que teu navegador tem?
Acessando esse site aqui ele te fala com base no fingerprint de todas caracteristicas do teu navegador, se teus dados te fariam único (rastreável) ao longo de todos dados que a plataforma ja teve (imagem anexo)
https://amiunique.org/fingerprint
Acessa o site normalmente e depois com uma vpn ativa
O fingerprint deve ser o mesmo. Mesmo com outro IP voce nao fica 100% anonimo. (Nenhuma malandragem de manter um tracking por cookies, localstorage ou sessionstorage eh utilizada. Pode apagar todos quando for reacessar)
Quero saber quem derrubou a AWS aí e quando pretende fazer ela voltar. Obrigado.
Fala pessoal! Acabei de publicar um artigo onde conto como foi o processo para passar na vaga do maior banco da América Latina para trabalhar com Infosec, mesmo sem ter feito faculdade.
https://brunomenozzi.com/trajetoria-hacker/infosec-sem-faculdade/
Nele, falo sobre minha jornada desde os tempos de "script kiddie", passando pelo suporte, desenvolvimento e até a consultoria.
Esse artigo vai ajudar todo mundo que está construindo uma carreira em cibersegurança de forma não tradicional ou se sentindo um pouco perdido sobre qual caminho seguir.
Espero que minha experiência contribua pra te mostrar que curiosidade, resiliência e aproveitar cada oportunidade podem abrir portas incríveis.
https://brunomenozzi.com/trajetoria-hacker/infosec-sem-faculdade/
Nele, falo sobre minha jornada desde os tempos de "script kiddie", passando pelo suporte, desenvolvimento e até a consultoria.
Esse artigo vai ajudar todo mundo que está construindo uma carreira em cibersegurança de forma não tradicional ou se sentindo um pouco perdido sobre qual caminho seguir.
Espero que minha experiência contribua pra te mostrar que curiosidade, resiliência e aproveitar cada oportunidade podem abrir portas incríveis.
Saca só um exemplo de pesquisa aprofundada enquanto se executa uma exploração: Envolveu todo um entendimento do contexto, mitigações que a google tava aplicando sobre checagem de domínio (um regex) para então conseguir chegar na exploração.
Se tu quer bugs únicos e que paguem um valor alto, eu acredito esse ser o melhor caminho a longo prazo / pensando também no teu próprio desenvolvimento como um bom pentester:
https://bugs.xdavidhu.me/google/2020/03/08/the-unexpected-google-wide-domain-check-bypass/
Se tu quer bugs únicos e que paguem um valor alto, eu acredito esse ser o melhor caminho a longo prazo / pensando também no teu próprio desenvolvimento como um bom pentester:
https://bugs.xdavidhu.me/google/2020/03/08/the-unexpected-google-wide-domain-check-bypass/
bugs.xdavidhu.me
The unexpected Google wide domain check bypass
David Schütz's bug bounty writeups
Postei no grupo VIP (https://brunomenozzi.com/group-invitations/grupo-vip/) AGORA um vídeo abrindo como foi o meu primeiro relatório da hackerone em agosto de 2020.
-> Foi um DOS no Apache Solr. Deu bounty e eu não esperava isso. Eu fiquei felizão. Paguei uma pizza pra minha família hahaha.
Qual foi o de vocês? Se não reportou nunca, o que te impede?
-> Foi um DOS no Apache Solr. Deu bounty e eu não esperava isso. Eu fiquei felizão. Paguei uma pizza pra minha família hahaha.
Qual foi o de vocês? Se não reportou nunca, o que te impede?
In this episode, rez0 brings Monke and Busfactor to discuss their success at the recent Google LHE in Mexico, as well as their journey and routines in full-time hacking.
Segue o link do sorteio p quem interessar ver a integridade: https://app.randompicker.com/record/881107x49768
ACABOOU! Desafio finalizado e qualquer submissão não concorrerá mais ao grupo VIP.
Vou sortear agora o nome!
SEGUE WRITEUP DO DESAFIO DE XSS #4
https://brunomenozzi.com/desafios/respostas/lab-4/
Vou sortear agora o nome!
SEGUE WRITEUP DO DESAFIO DE XSS #4
https://brunomenozzi.com/desafios/respostas/lab-4/
15 minutos! O nome da galera que vai ser sorteada eu já preenchi na lista, mas se alguem fizer gol aí nos ultimos minutos (enviar o printscreen resolvendo e eu ver nos logs que resolveu mesmo), entra pra lista
