|
FAQ | Calendário | Postagens do dia | Buscapé | Search |
|
Thread Tools |
Trooper
|
19-01-19, 07:26
#76
o have i been pwned é um site sério, inclusive o criador escreve artigos sobre segurança constantemente: The 773 Million Record "Collection #1" Data Breach
|
||||
Trooper
|
21-01-19, 09:01
#77
https://haveibeenpwned.com/ é legítimo sim.
O Troy Hunt (criador) é super famoso mundialmente por causa de segurança. Onde trabalho contrataram ele pra fazer um treinamento de 3 dias. Foi super legal. Confesso que não aprendi nada incrível, mas vi coisas que nunca imaginei que seriam possíveis. Exemplos: - Ele ligou um pineaple no escritório e o celular de uma galera conectou nele. Mas ele faz direitinho se vc tentar navegar avisa que vc tá sendo snifado. Ele disse que gosta de ir em convenções de segurança com bateria e o pineapple na mochila só pra ver a galera que conecta. Até palestrante já tentou navegar e caiu na página dele avisando que a conexão não é segura. Porém, se for HTTPS o pineapple não consegue capturar nada. - Ele nos passou um aplicativo (não lembro o nome) e pediu pra usar no site dele. Disse q tem nego de 13 anos que faz isso (é ilegal, mas como ele autorizou no site dele poderíamos usar). O app faz sql injection attack e tipo, pegou toda a estrutura do banco de dados dele. Vc não precisa saber nada, só ir selecionando opções no app e já era. - Mostrou umas coisas legais de segurança e tipo como você usar engenharia social pra achar umas coisas. Tipo, se você por que esqueceu a senha num site que esqueceu a senha e o site confirmar que seu email é correto (ou seja, está cadastrado) ao invés de só falar algo "Se você tem um cadastro conosco iremos enviar um email de reset de senha" é uma quebra de privacidade. Tipo, tem site de pessoa com depressão considerando suicídio, não seria algo interessante qualquer um com seu email por lá e saber que você é membro. O mesmo serviria pra por exemplo site de pessoa casada procurando amante. Tem mais coisa, mas não lembro tudo. Edit: - Outra coisa que eu não sabia e achei interessante. Tem um site que você cadastra seu domínio e na próxima versão do Chrome por exemplo, já sai que aquele site precisa sempre ser carregado em https, porque em sites normais, ele pinga o servidor (http), o servidor dá o certificado e daí redireciona pra https. Ou seja, um pineapple poderia fazer merda ainda aí evitando o redirect. Mas se o browser pede direto https não tem o que fazer. - Eu vou ver se acho algum post sobre isso, ele comentou também algo que ele fez na Europa com carros que ligavam sem chave que fez a fabricante desligar a funcionalidade. Parece que com um número que você lia no para-brisa você poderia "hackear" um negócio de sinal RF pra ligar o carro sabendo aquele número. - Outra coisa que ele comentou (sem relacionar com segurança) é que o blog dele https://www.troyhunt.com/ tem 1 ad. é uma linha minúscula e não invasiva no topo. Ele faz 800 dolares por mes com isso e fica mto chateado dos adblockers removerem, pq ele fez o máximo possível pra não ser um ad ruim sabe. Eu até desliguei no site dele por isso. Last edited by BeGod; 21-01-19 at 09:08.. |
🌀 Trooper
|
21-01-19, 09:33
#78
Meu caso foi o LinkedIn que tomou toco.
|
Trooper
|
21-01-19, 10:42
#79
Oh no — pwned!
Pwned on 9 breached sites and found no pastes (subscribe to search sensitive breaches) eita! |
Robson
|
21-01-19, 11:33
#80
|
Trooper
|
21-01-19, 11:47
#81
da pra buscar por senha no hibp. https://haveibeenpwned.com/Passwords
|
Trooper
|
21-01-19, 14:17
#82
Quote:
hoje em dia a maioria dos web frameworks vem com "input escape" embutidos. mas enfim, vale a pena o teste. Quote:
vc pode também setar isso através de headers nas respostas http do seu site. mas isso só vai proteger quem ja visitou seu site alguma vez e recebeu o header |
||
Trooper
|
21-01-19, 14:49
#83
Quote:
This password has been seen 78 times before caramba!! e eu achando que tava tranquilão! |
|
Trooper
|
21-01-19, 14:50
#84
Good news — no pwnage found!
No breached accounts and no pastes (subscribe to search sensitive breaches) no way jose! tinha certeza que tinha tomado uns 30 pwned pelo menos |
Trooper
|
21-01-19, 19:15
#85
Ah, ele tem um site específico pra isso nas palestras que ele dá. Tipo, ele reseta toda noite. E podemos nos cadastrar e tudo mais.
|
|
|