Categoria

Pentest

10 publicações

Pentest Web do Zero: Montando um Lab Seguro com DVWA, Juice Shop e Burp Suite

Guia hands-on para montar um laboratorio isolado de pentest web com DVWA, Juice Shop, Burp Suite e regras claras de ataque seguro e legal.

Ler →

Pentest de APIs REST e GraphQL: Checklist Tecnico para Bug Bounty Legal

Metodologia tecnica para testar APIs REST e GraphQL em programas autorizados, com foco em IDOR, bypass de autenticacao e introspeccao maliciosa.

Ler →

Pentest de Aplicacoes Mobile Android: Frida, MobSF e Lab com Genymotion

Setup completo para analise dinamica de APKs proprios com Frida, MobSF e Genymotion, incluindo hooks praticos e checklist tecnico.

Ler →

Red Team 101: Diferenca entre Pentest e Operacoes Adversariais Reais

Pentest nao e red team. Entenda escopo, ROE, objetivos e por que disciplina etica define o sucesso de uma operacao adversarial.

Ler →

Nmap Avancado: Scripts NSE para Recon Interno em Lab Corporativo Simulado

Como tirar proveito real do NSE para enumeracao autorizada em redes internas simuladas, com exemplos de scripts, parsing de saida e integracao com pipelines de pentest.

Ler →

Pivoting com Chisel e Ligolo-ng: Redes Segmentadas em Lab de Pentest

Como pivotar entre VLANs usando Chisel e Ligolo-ng em um lab controlado, e quais artefatos a blue team consegue capturar para detectar o tunel reverso.

Ler →

XSS Moderno: DOM, Stored e Reflected com Exemplos Reais em Ambiente de Teste

Tres sabores de XSS dissecados em sandbox com payloads, fluxo de exploracao e mitigacoes via CSP estrita, Trusted Types e sanitizacao com DOMPurify.

Ler →

SQL Injection na Pratica: Explorando, Detectando e Mitigando em Lab Controlado

Demonstracao tecnica de SQLi com sqlmap em ambiente proprio, focando em deteccao defensiva e fixes parametrizados que realmente seguram o trafego em producao.

Ler →

Explorando Vulnerabilidades de Upload de Arquivos sem Quebrar a Lei

Como bypassar validacoes de upload em lab proprio, mapear classes de falhas e endurecer webservers contra RCE via arquivo malicioso.

Ler →

SSRF Descomplicado: Explorando Cloud Metadata em Lab AWS Local

Reproducao etica de SSRF contra IMDS usando LocalStack, com payloads reais, captura de credenciais simuladas e bloqueio definitivo via IMDSv2.

Ler →