A grande vantagem do Ricardo é mostrar como as coisas funcionam para depois mostrar como fazer. Essa didática é excelente, porque torna a evolução muito rápida. Parabéns !
*XSS pode ser uma falha muito perigosa sim.* *Antigamente quando fazia ensino médio, eu explorava a falha e conseguia acesso ao portal de admin(professores).* *O site já fornecia o login(nome do professor) que na verdade puxava um "ID", realizando uma inspeção no código-fonte pelo próprio navegador conseguia o "ID" de qualquer professor, E com uma pequena manipulação de URL, trocando o "ID" dos usuários (alunos) pelo "ID" dos professores, conseguia pular a página de login/senha e ir direto para o portal do professor em questão.*
Isso sim é um professor, e não essas merdas que ficam vendendo propaganda no RUclips po!! Eu pagaria 10 mil nesse curso, na boa, o cara é bom e é objetivo, sem conversa galera, aqui é matemática e lógica e só!
Excelente Ricardo e a DESEC estão mandando bem no treinamento de pentest! É sempre gratificante ver profissionais se dedicando a aprender e aprimorar suas habilidades nessa área tão importante para a segurança cibernética.
Cara você sempre, inspira nós que gostamos da área de segurança da informação. Ótima aula, em breve estarei comprando, seu treinamento de pentest profissional. Farei este investimento.
Ricardo, fica aqui minha sugestão de assunto para um próximo vídeo. Você poderia falar sobre sua carreira, como começou, como você estudava, dificuldades que você teve, vacilos e acertos, etc... Garanto que ficaria um vídeo bem legal, um abraço!
Que vídeo da hora mano, tô começando a desenvolver pra web e comecei a ver teu canal por causa disso: ver erros de segurança na prática, que legal tá aprendendo aqui. Vlw pelo conteúdo ;-)
Ótimo conteúdo Longatto, te acompanho a alguns ano já e é sempre soube da qualidade do seu método de ensino, espero conseguir até o fim do ano uma folga para fazer seu curso, vlw.
Pra quem leu as paradas na teoria ficava tudo muito nebuloso, obrigado por explicar, já que meu cérebro se recusa a decorar algo só pelas palavras sem entender.
Ricardo, você tem algum mini curso ensinando a desenvolver desafio CTF com esse que mostrou nesse vídeo. Ou mesmo material didático com PDF, passo a passo ensinando criar esse tipo de desafio e como pensar dos dois lados. Do desenvolvedor e de quem vai desafiar a máquina?
Ai vai dicas de temas a serem abordados: # Bash Bunny e WHID (utilização na pratica, criar payloads); # KL DNS(como funciona , como se proteger); # Crypter(que funcione); # WiFi Pineapple(criar um usando a mesma ideia); # DNSFilter(como utilizar e criar malware ou ataque que visam modificar remotamente DNS de router ); # Trojan pra Iphone # Pastejacking # Fileless malware como usar , criar ... # hijackers, como usar , criar .. # URL: Mal. como usar , criar ... # Pentest em android e APP do mesmo , tals como quebra de senha em APP , quebra senha de login via APP...
Eu tenho uma dúvida como professor Ricardo qual é o limite de um pentest por exemplo eu fui contratado para um pentest e no teste detectei algumas vulns fiz o relatório. Outro pentest fazendo o teste conseguiu ir mais longe e encontrou falhas aonde não tinha encontrado, mas também não relatou algumas que tinha encontrado. Por isso a pergunta qual é o nível do pentest? Sem descaracterizar o trabalho dos profissionais que fizeram o seu melhor.
Parabens, Como sempre seus vídeos são esclarecedores. Estava sentindo falta dos seus vídeos e também senti falta da DESEC no Roadsec deste anos. Voltem por favor.
Salve Ricardo! Monstro! Cara, não sei se vai ler meu comentário, mas vou deixar aqui um humilde pedido que é o seguinte: - Queria muito ver você falando sobre bug Bounty, umas dicas de estudo conforme seu ponto de vista e experiência, quais linguagens abrangeriam melhor esta modalidade, diferenças entre Pentest e Bug Bounty; etc... Gostaria de curso seu focado em bug bounty, mas acho que não pretende fazer algo focado nisso né...rs Enfim, espero que veja o comentário e considere o primeiro pedido pelo menos. Abç. Sucesso!
Ricardo em primeiro lugar quero dizer que gostei muito da aula, obrigado. Estou inscrito e marquei o sininho mas n recebo a notificação de novos vídeos.. Esse conhecimento de xss entre outros vc ensina também no curso de pentest profissional?
Ola Ricardo tudo bem? então estou com dificuldade em subir meu servidor no meu kali linux 2019 estou rodando o comando como vc colocou no video e da erro. tentei com o nc e ele ate sobe mais ai ele fica escultando a conecção mais não acontece nada. ja atualizei meu kali 2019 e mesmo assim nada,vc pode me passa uma outra forma por favor.
boa tarde cara vc é muito bom, vc tem cursos para vender eu sou técnico em redes mais sou fascinado por pen test,vc teria algum material para vender. mim manada teu contato.
R.I.P XxxTentacion 18/06/2018 Fala ai...blz? Cara se vc consegui subir um servidor web no termux não vejo porque não funcionar. Até porque o ataque demonstrado é no próprio navegador e o seu servidor só irá receber a sessão
@@RicardoLongatto Show! O Mário te enviou meu artigo da minha pós graduação em Cybersecurity? Fiz um artigo de uma simulação de um Rubber Duck em um arduino. Gostaria de suas críticas! Se não recebeu eu te passo.
Estou pensando em fazer uma faculdade de gestão de tecnologia da informação e nos assuntos abordados tem a área de segurança da informação com 60 horas de carga horária. Você como professor acha que vou aprender pelo menos um pouco assim como vc com a facul ? É UNIP EAD
É bastante comum encontrar XSS atualmente tanto que é uma falha que sempre está no top10 da owasp. A idéia dessa primeira aula é dar a base e mostrar o impacto assim a gente vai alinhando o conhecimento do pessoal e depois sim é possível gravar outras aulas mais avançadas e focadas em técnicas de bypass.
eu fiz um xss e mandei pro meu amigo so que n coloquei pra roubar sessao baixar arquivos nem nada so coloquei pra dar um susto e falar que eu roubei os dados dele
Algo muito simples que ninguem nunca me explicou, imagine que eu antes de fazer todos os meus filtros padroes em PHP eu apenas fazer um replace aonde qualquer caraqueter que eu nao queira permitir exemplo
![I.N "HALLUCINATION" | [Stray Kids : SKZ-PLAYER]](http://i.ytimg.com/vi/n5B5q1Hwt_U/mqdefault.jpg)
Pela primeira vez na vida, entendi, perfeitamente como funciona, justamente pela sua didática e mostrand o passo a passo. Muito obrigado Ricardo.
A grande vantagem do Ricardo é mostrar como as coisas funcionam para depois mostrar como fazer. Essa didática é excelente, porque torna a evolução muito rápida.
Parabéns !
*XSS pode ser uma falha muito perigosa sim.*
*Antigamente quando fazia ensino médio, eu explorava a falha e conseguia acesso ao portal de admin(professores).*
*O site já fornecia o login(nome do professor) que na verdade puxava um "ID", realizando uma inspeção no código-fonte pelo próprio navegador conseguia o "ID" de qualquer professor, E com uma pequena manipulação de URL, trocando o "ID" dos usuários (alunos) pelo "ID" dos professores, conseguia pular a página de login/senha e ir direto para o portal do professor em questão.*
nossa,muda minha nota do sageal kkkkk ( to brincando kkk),ei serio aquele sageal é cheio de bugs deve ter tanta falha kkkkk
@@Ulusamay kkkkkkkkkkkkkkkkk
uri
tudo isso pq nao tem um "exit();" no codigo em php kkkkkkkkkkkkkkkkkkkkk
Isso sim é um professor, e não essas merdas que ficam vendendo propaganda no RUclips po!!
Eu pagaria 10 mil nesse curso, na boa, o cara é bom e é objetivo, sem conversa galera, aqui é matemática e lógica e só!
Excelente Ricardo e a DESEC estão mandando bem no treinamento de pentest! É sempre gratificante ver profissionais se dedicando a aprender e aprimorar suas habilidades nessa área tão importante para a segurança cibernética.
Exelente aula, continue assim. Unico professor que realmente explica e que faz a gente entender do assunto.
Cara você sempre, inspira nós que gostamos da área de segurança da informação. Ótima aula, em breve estarei comprando, seu treinamento de pentest profissional. Farei este investimento.
Ricardo, fica aqui minha sugestão de assunto para um próximo vídeo. Você poderia falar sobre sua carreira, como começou, como você estudava, dificuldades que você teve, vacilos e acertos, etc... Garanto que ficaria um vídeo bem legal, um abraço!
Sem palavras mestre Ricardo, basico pra começa e profundo
Estou fazendo o curso de pentest profissional da Desec. E recomendo. Muito bom mesmo. Ricardo domina do assunto. Parabéns Ricardo
Perfeita explicações, parabéns!
Que vídeo da hora mano, tô começando a desenvolver pra web e comecei a ver teu canal por causa disso: ver erros de segurança na prática, que legal tá aprendendo aqui. Vlw pelo conteúdo ;-)
Ótimo conteúdo Longatto, te acompanho a alguns ano já e é sempre soube da qualidade do seu método de ensino, espero conseguir até o fim do ano uma folga para fazer seu curso, vlw.
Parabéns Ricardo
estamos todos ansiosos pela aula sobre beef
e mais payloads de xss também haha
Abraços
Pra quem leu as paradas na teoria ficava tudo muito nebuloso, obrigado por explicar, já que meu cérebro se recusa a decorar algo só pelas palavras sem entender.
Você é foda professor!
seus videos e muito top, Parabens
Show Ricardo, faz mesmo o um video sobre beef xss
Ricardo, você tem algum mini curso ensinando a desenvolver desafio CTF com esse que mostrou nesse vídeo.
Ou mesmo material didático com PDF, passo a passo ensinando criar esse tipo de desafio e como pensar dos dois lados. Do desenvolvedor e de quem vai desafiar a máquina?
Bom video mn esclareceu mtas da minhas dúvidas.
Vídeo top! Parabéns...
Simplesmente seu conteudo é outro nivel mano
Ai vai dicas de temas a serem abordados:
# Bash Bunny e WHID (utilização na pratica, criar payloads);
# KL DNS(como funciona , como se proteger);
# Crypter(que funcione);
# WiFi Pineapple(criar um usando a mesma ideia);
# DNSFilter(como utilizar e criar malware ou ataque que visam modificar remotamente DNS de router );
# Trojan pra Iphone
# Pastejacking
# Fileless malware como usar , criar ...
# hijackers, como usar , criar ..
# URL: Mal. como usar , criar ...
# Pentest em android e APP do mesmo , tals como quebra de senha em APP , quebra senha de login via APP...
Eu tenho uma dúvida como professor Ricardo qual é o limite de um pentest por exemplo eu fui contratado para um pentest e no teste detectei algumas vulns fiz o relatório. Outro pentest fazendo o teste conseguiu ir mais longe e encontrou falhas aonde não tinha encontrado, mas também não relatou algumas que tinha encontrado. Por isso a pergunta qual é o nível do pentest? Sem descaracterizar o trabalho dos profissionais que fizeram o seu melhor.
Opa.. Essa vou responder em um vídeo ;)
ótima duvida!! Já estou de spy nesse feed kkkkk
Excelente !
Dependo do tamanho do servidor e quantas aplicações ele roda, digamos que, infinito kkk
Parabens, Como sempre seus vídeos são esclarecedores. Estava sentindo falta dos seus vídeos e também senti falta da DESEC no Roadsec deste anos. Voltem por favor.
Realmente estamos com o tempo curto, mais tem muita coisa acontecendo em background. Logo logo a gente volta com as novidades =)
mt bom o video, estou no aguardo para conhecer melhor o beef-xss vlw
Excelente aula
Pq até q enfim um vídeo poha
..
Faz um vídeo mostrando como seria a correção para o XSS :-)
Muito bom, bem explicado... Parabéns!
Muito obg, pelo compartilhamento Longato
Muito bom Ricardo
Melhor vídeo aula
Ricardo, quando vocês irão abrir uma turma para o Pentest Professional?
Excelente vídeo! Parabéns
Salve Ricardo! Monstro! Cara, não sei se vai ler meu comentário, mas vou deixar aqui um humilde pedido que é o seguinte: - Queria muito ver você falando sobre bug Bounty, umas dicas de estudo conforme seu ponto de vista e experiência, quais linguagens abrangeriam melhor esta modalidade, diferenças entre Pentest e Bug Bounty; etc... Gostaria de curso seu focado em bug bounty, mas acho que não pretende fazer algo focado nisso né...rs Enfim, espero que veja o comentário e considere o primeiro pedido pelo menos. Abç. Sucesso!
Ótimo video Longatto!
Top!! Poderia falar sobre bypass em input file image subindo uma shell php
@Gb Plays isso não funciona em todos os casos...
muito bom, parabéns!
Que aula top
Quem quiser ver em formato de post www.blog.desecsecurity.com/blog/xss-cross-site-scripting
Aguardando o vídeo de como começar no pentesting.
Esse cara é foda mano
show! quando vai abrir novas vagas para o curso de pentest? tem previsão?
Pergunta Noob, tem uma lista de quais locais posso armazenar os cookies
Se parece tanto com sqli ... quais são as diferenças ??
Opa aiii sim em Ricardo
Bom dia , consegui resposta do meu cookie pelo search pelo contato não deu .. por search tem como receber o cookie do adm ??
No curso de Pentest Profissional, vc disponibiliza o código dessa Aplicação???
Tmj Longatto !
Perfeito!
Será que dá pra fazer com a função fetch e mandar por post para uma web api?
Da pra upar uma shell reversa pela falha xss?
O curso serve pra quem é iniciante?trabalho com tecnologia mas não com Programação.
Muito bom!
Na minha página aparece um cookie e com o nome PHPSESSID, isso pode ser explorado?
Aí professor o Sr poderia trazer mais vulnerabilidade da woasp...
Valeu pela aula
Valeu! vou trazer :)
hum, agora entendi porque dizem para usar o comando session_regenerate_id
Ricardo em primeiro lugar quero dizer que gostei muito da aula, obrigado. Estou inscrito e marquei o sininho mas n recebo a notificação de novos vídeos..
Esse conhecimento de xss entre outros vc ensina também no curso de pentest profissional?
E se for com a tag imagen como seria a captura de perga os cookies sereia a msm coisa de manda pro servidor?
Qual a versão desse kali que ele usa?
Uns 3 anos depois o que eu mais queria era o código desse desafio pra estudar.
Ola Ricardo tudo bem?
então estou com dificuldade em subir meu servidor no meu kali linux 2019 estou rodando o comando como vc colocou no video e da erro.
tentei com o nc e ele ate sobe mais ai ele fica escultando a conecção mais não acontece nada.
ja atualizei meu kali 2019 e mesmo assim nada,vc pode me passa uma outra forma por favor.
mto bom
Posta esse vídeo de xss, mano
Top d+
Muito top 👍🤙
boa tarde cara vc é muito bom, vc tem cursos para vender eu sou técnico em redes mais sou fascinado por pen test,vc teria algum material para vender. mim manada teu contato.
Tenho sim e está na promoção www.pentestprofissional.com.br ou desecsecurity.com/treinamentos/
Ricardo, eu estou sem o meu NOTEBOOK, Será q dá pra fazer esses ataques pelo Termux pelo celular?
R.I.P XxxTentacion 18/06/2018 Fala ai...blz? Cara se vc consegui subir um servidor web no termux não vejo porque não funcionar. Até porque o ataque demonstrado é no próprio navegador e o seu servidor só irá receber a sessão
@@tarciorodrigoalmeida4324 vlw man
Faz vídeo com o beef!!!
Ensina como faz um site desse para fazer testes
da para usar na epic games
Esse vídeo poderia ser postado também no curso de pentest
Vai ser postado na parte de aulas extras lá no final e o ambiente estará disponível para vocês na corp network ainda essa semana.
@@RicardoLongatto Show! O Mário te enviou meu artigo da minha pós graduação em Cybersecurity? Fiz um artigo de uma simulação de um Rubber Duck em um arduino. Gostaria de suas críticas! Se não recebeu eu te passo.
Estou pensando em fazer uma faculdade de gestão de tecnologia da informação e nos assuntos abordados tem a área de segurança da informação com 60 horas de carga horária. Você como professor acha que vou aprender pelo menos um pouco assim como vc com a facul ? É UNIP EAD
Fui fazer testes e acabei encontrando vulnerabilidade de sql injection
Muito bom S2
A grande maioria dos sites conserta essa brecha, tu vai demonstrar alguns métodos de burlar isso?
É bastante comum encontrar XSS atualmente tanto que é uma falha que sempre está no top10 da owasp. A idéia dessa primeira aula é dar a base e mostrar o impacto assim a gente vai alinhando o conhecimento do pessoal e depois sim é possível gravar outras aulas mais avançadas e focadas em técnicas de bypass.
@@RicardoLongatto Vlw cara, tô ansioso
muito bom mesmo
Gênio.
Tô aqui por causa do STF Craft kkkk
eu fiz um xss e mandei pro meu amigo so que n coloquei pra roubar sessao baixar arquivos nem nada so coloquei pra dar um susto e falar que eu roubei os dados dele
Top !!!
Lembrete *on* 😎
2!
VIDEO TOP
Leko?
Táporra
08:32
Algo muito simples que ninguem nunca me explicou, imagine que eu antes de fazer todos os meus filtros padroes em PHP eu apenas fazer um replace aonde qualquer caraqueter que eu nao queira permitir exemplo
e se o atacante usar
a pergunta e
seu script para eliminar tag script teria algum efeito ?
inúmeras possibilidades
eu posso recuperar minha cona epic games
Sou quase perito em SQL Injection, você conhece alguém que pague pra encontrar falhas?
Sites de bug bounty
Até hoje da pra usar esses tipos de ataque, ainda mais esses programadores que não usa framework kkkkk
:) like
Zika
mentira eles faz backup do aparelhor das pessoas sem elas saber
Ese vídeo e de Q
Top d +