Darkside  

Voltar   Darkside > Darkside > Comunidade

Responder
 
Thread Tools
Holocaust
Trooper
 

Steam ID: holozinho
19-01-19, 07:26 #76
o have i been pwned é um site sério, inclusive o criador escreve artigos sobre segurança constantemente: The 773 Million Record "Collection #1" Data Breach





Holocaust is offline   Reply With Quote
BeGod
Trooper
 

PSN ID: Merurinu
21-01-19, 09:01 #77
https://haveibeenpwned.com/ é legítimo sim.

O Troy Hunt (criador) é super famoso mundialmente por causa de segurança.

Onde trabalho contrataram ele pra fazer um treinamento de 3 dias. Foi super legal. Confesso que não aprendi nada incrível, mas vi coisas que nunca imaginei que seriam possíveis.

Exemplos:

- Ele ligou um pineaple no escritório e o celular de uma galera conectou nele. Mas ele faz direitinho se vc tentar navegar avisa que vc tá sendo snifado. Ele disse que gosta de ir em convenções de segurança com bateria e o pineapple na mochila só pra ver a galera que conecta. Até palestrante já tentou navegar e caiu na página dele avisando que a conexão não é segura. Porém, se for HTTPS o pineapple não consegue capturar nada.
- Ele nos passou um aplicativo (não lembro o nome) e pediu pra usar no site dele. Disse q tem nego de 13 anos que faz isso (é ilegal, mas como ele autorizou no site dele poderíamos usar). O app faz sql injection attack e tipo, pegou toda a estrutura do banco de dados dele. Vc não precisa saber nada, só ir selecionando opções no app e já era.
- Mostrou umas coisas legais de segurança e tipo como você usar engenharia social pra achar umas coisas. Tipo, se você por que esqueceu a senha num site que esqueceu a senha e o site confirmar que seu email é correto (ou seja, está cadastrado) ao invés de só falar algo "Se você tem um cadastro conosco iremos enviar um email de reset de senha" é uma quebra de privacidade. Tipo, tem site de pessoa com depressão considerando suicídio, não seria algo interessante qualquer um com seu email por lá e saber que você é membro. O mesmo serviria pra por exemplo site de pessoa casada procurando amante.

Tem mais coisa, mas não lembro tudo.

Edit:

- Outra coisa que eu não sabia e achei interessante. Tem um site que você cadastra seu domínio e na próxima versão do Chrome por exemplo, já sai que aquele site precisa sempre ser carregado em https, porque em sites normais, ele pinga o servidor (http), o servidor dá o certificado e daí redireciona pra https. Ou seja, um pineapple poderia fazer merda ainda aí evitando o redirect. Mas se o browser pede direto https não tem o que fazer.
- Eu vou ver se acho algum post sobre isso, ele comentou também algo que ele fez na Europa com carros que ligavam sem chave que fez a fabricante desligar a funcionalidade. Parece que com um número que você lia no para-brisa você poderia "hackear" um negócio de sinal RF pra ligar o carro sabendo aquele número.
- Outra coisa que ele comentou (sem relacionar com segurança) é que o blog dele https://www.troyhunt.com/ tem 1 ad. é uma linha minúscula e não invasiva no topo. Ele faz 800 dolares por mes com isso e fica mto chateado dos adblockers removerem, pq ele fez o máximo possível pra não ser um ad ruim sabe. Eu até desliguei no site dele por isso.


Last edited by BeGod; 21-01-19 at 09:08..
BeGod is offline   Reply With Quote
Never Ping
🌀 Trooper
 

Gamertag: Willian Braga PSN ID: Never_Ping XFIRE ID: neverping Steam ID: neverping
21-01-19, 09:33 #78
Meu caso foi o LinkedIn que tomou toco.

Never Ping is offline   Reply With Quote
marz
Trooper
 

21-01-19, 10:42 #79
Oh no — pwned!
Pwned on 9 breached sites and found no pastes (subscribe to search sensitive breaches)

eita!

marz is offline   Reply With Quote
David
Robson
 

21-01-19, 11:33 #80
Quote:
Postado por Never Ping Mostrar Post
Meu caso foi o LinkedIn que tomou toco.
no meu caso foi LinkedIn e DropBox. o resto são site menores.

David is offline   Reply With Quote
Ted
Trooper
 

Gamertag: MassahudDS PSN ID: massahud Steam ID: massahud
21-01-19, 11:47 #81
da pra buscar por senha no hibp. https://haveibeenpwned.com/Passwords

Ted is offline   Reply With Quote
Holocaust
Trooper
 

Steam ID: holozinho
21-01-19, 14:17 #82
Quote:
Postado por BeGod Mostrar Post
- Ele nos passou um aplicativo (não lembro o nome) e pediu pra usar no site dele. Disse q tem nego de 13 anos que faz isso (é ilegal, mas como ele autorizou no site dele poderíamos usar). O app faz sql injection attack e tipo, pegou toda a estrutura do banco de dados dele. Vc não precisa saber nada, só ir selecionando opções no app e já era.
meio estranho funcionar no site dele, a não ser que ele permita sql injection.
hoje em dia a maioria dos web frameworks vem com "input escape" embutidos. mas enfim, vale a pena o teste.

Quote:
Postado por BeGod Mostrar Post
- Outra coisa que eu não sabia e achei interessante. Tem um site que você cadastra seu domínio e na próxima versão do Chrome por exemplo, já sai que aquele site precisa sempre ser carregado em https, porque em sites normais, ele pinga o servidor (http), o servidor dá o certificado e daí redireciona pra https. Ou seja, um pineapple poderia fazer merda ainda aí evitando o redirect. Mas se o browser pede direto https não tem o que fazer.
https://hstspreload.org/

vc pode também setar isso através de headers nas respostas http do seu site. mas isso só vai proteger quem ja visitou seu site alguma vez e recebeu o header

Holocaust is offline   Reply With Quote
marz
Trooper
 

21-01-19, 14:49 #83
Quote:
Postado por Ted Mostrar Post
da pra buscar por senha no hibp. https://haveibeenpwned.com/Passwords
Oh no — pwned!
This password has been seen 78 times before

caramba!!
e eu achando que tava tranquilão!

marz is offline   Reply With Quote
Sekzzz
Trooper
 

21-01-19, 14:50 #84
Good news — no pwnage found!
No breached accounts and no pastes (subscribe to search sensitive breaches)

no way jose!
tinha certeza que tinha tomado uns 30 pwned pelo menos

Sekzzz is offline   Reply With Quote
BeGod
Trooper
 

PSN ID: Merurinu
21-01-19, 19:15 #85
Quote:
Postado por Holocaust Mostrar Post
meio estranho funcionar no site dele, a não ser que ele permita sql injection.
hoje em dia a maioria dos web frameworks vem com "input escape" embutidos. mas enfim, vale a pena o teste.
Ah, ele tem um site específico pra isso nas palestras que ele dá. Tipo, ele reseta toda noite. E podemos nos cadastrar e tudo mais.

BeGod is offline   Reply With Quote
Responder

Thread Tools

Regras de postagem
Você não pode criar novos tópicos
Você não pode postar
Você não pode enviar anexos
Você não pode editar seus posts

BB code is On
Smilies are On
[IMG] code is On
HTML code is Off

Atalho para Fóruns



O formato de hora é GMT -3. horário: 06:18.


Powered by vBulletin®
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.