Links Úteis

02-11-2022

Blogs

Youtubers

Github profiles

VMs

Web Scanners

Vazamento de Senhas e Dados

OSINT

Steganography / Esteganografia

  • https://www.aperisolve.com | Reune várias ferramentas de análise de imagem e uma única requisição web)
  • HxD | Visualizador hexdecimal de arquivos)
  • stegseek | Procura por palavras dentro de uma arquivo de imagem baseado em uma lista (rockyou, por exemplo)
  • binwalk | Usado principalmente para extrair outros arquivos escondidos dentro de outros arquivos
  • steghide | Inserir ou extrair outros arquivos inseridos e protegidos com senha em outros arquivos
  • strings | Comando strings, ferramenta linux que analisa possíveis strings de arquivos, locais, etc
  • exiftool | Comando/ferramenta linux que analisa as informações EXIF de um arquivo
  • goblyn | Captura de metada em arquivo de um website files

Artigo sobre importância dos metadados para a segurança: https://www.kaspersky.com.br/blog/office-documents-metadata/7192/

Dorks

Web Tools

Tools

Pentest & Recon

Browser plugins

  • DotGit
  • Link Gopher
  • Http Header Live
  • JS Beautifier
  • KeyFinder
  • Web scan

Pentest (DAST)

Analisadores de tráfego

Listas

Sobre API keys

Sobre AWS Buckets

Criptografia, Hash databases e crackers

Wordlists

Aplicação para validação de web scanners

Databases para verificação de vulnerabilidade de bibliotecas

Verificação de DNS

E-mail Analysis

Malware Analysis

Mapas mentais, diagramas e prototipação

Compartilhamento de arquivos e textos

Emissão de certificado Https baixo ou nenhum custo

CORS ByPass

Reverse Tabnabbing

Third party libraries

CSP

Lax vs Strict
https://blog.benpri.me/blog/2019/05/13/samesite-cookies-in-practice/

XSS Game
https://xss-game.appspot.com

CTF
https://tryhackme.com/room/ohsint

I Know What You Download
https://iknowwhatyoudownload.com/en/peer/

Regras de boas práticas para desenvolvimento do Sonar
https://rules.sonarsource.com/csharp

CheatSheets e prevenções

Geral - OWASP cheatsheetseries link
XSS - Portswigger XSS cheatsheet link
XSS - OWASP XSS cheatsheet link
DOM XSS - OWASP DOM XSS cheatsheet link
XSS - XSS payloads além do alert link
XSS - PayloadsAllTheThings payloads link
Markdown XSS - https://github.com/cujanovic/Markdown-XSS-Payloads/blob/master/Markdown-XSS-Payloads.txt
SQLi - Portswigger SQLi cheatsheet link
SQLi - Netsparker SQLi cheatsheet link
Privilege Escalation - https://github.com/Ignitetechnologies/Privilege-Escalation/
Burp - https://github.com/Ignitetechnologies/BurpSuite-For-Pentester
Malware - https://github.com/malwares

Sniping Insecure Cookies with XSS

Angular template injection

Web Cache Deception

Services

.Net

Calcular nível de vulnerabilidades

Coleção de relatórios de pentestes

Eventos

Security Awareness

Personal Security Checklist

Cofre de senhas

Phishing

IA geradore de perfis que não existem

Critérios de segurança no código

Guides

The National Cyber Security Centre
https://www.ncsc.gov.uk/

CTO Security Checklist/Guide
https://www.goldfiglabs.com/guide/saas-cto-security-checklist/

OWASP Top 10 controle proativos
https://owasp.org/www-project-proactive-controls/

IoT Security
https://www.bekk.christmas/post/2021/14/segment-your-home-network-today

Bugbounty Tips
https://github.com/KingOfBugbounty/KingOfBugBountyTips

Verificação de assinaturas de arquivos
https://www.garykessler.net/library/file_sigs.html

Analisando mensagens HTTP com Burp Suite e FoxyProxy
https://luan-cf-bnu.medium.com/analisando-mensagens-http-com-burp-suite-e-foxyproxy-9fb0a32d6fa4

4 coisas que todo relatório deve ter
https://rhinosecuritylabs.com/penetration-testing/four-things-every-penetration-test-report/

Focar nos itens importantes do guide, como e o que utilizar
https://www.apriorit.com/dev-blog/622-qa-web-application-pen-testing-owasp-checklist

Security Design Guidelines for Web Services
https://msdn.microsoft.com/en-us/library/ff649737.aspx

Sobre HSTS
https://www.troyhunt.com/understanding-http-strict-transport

12 Discas contra DDoS
https://blog.4linux.com.br/12-metodos-para-prevenir-ddos/

Como implementar corretamente o Salt
https://crackstation.net/hashing-security.htm

Dicas para quem programa em .Net
https://cheatsheetseries.owasp.org/cheatsheets/DotNet_Security_Cheat_Sheet.html (Tópico ‘ASP NET Web Forms Guidance’, sobre CSRF e ViewState)

Comunicação segura: Jitsi, Signal ou Wire
https://thehackernews.com/2020/04/zoom-cybersecurity-hacking.html

For everything else that requires sharing sensitive information, there are more secure options like self-hosted Jitsi, Signal and Wire.

WCF: Dicas de client
https://www.oreilly.com/library/view/programming-wcf-services/9781449382476/ch01s13.html

Fundamentos do GC
https://docs.microsoft.com/en-us/dotnet/standard/garbage-collection/fundamentals?redirectedfrom=MSDN#background_server_garbage_collection

CVE-2021-44228 - Log4j

1
2
3
4
https://youtu.be/7qoPDq41xhQ

Exploit Demo: https://github.com/leonjza/log4jpwn
Shell Check: https://log4shell.huntress.com/

Kali Linux Commands
https://ethicalhackersacademy.com/blogs/ethical-hackers-academy/kali-linux-commands

Livros
The Code Book: The Secrets Behind Codebreaking
The Art of Deception (Kevin Mitnick)