Murilo Caixeta

Nesse artigo abordaremos a exploração de desserialização insegura em aplicações que fazem uso do ASP.NET Core. Antes de mergulharmos nos detalhes desse tópico, é crucial compreender o que é .NET Core e ASP.NET Core. O que é .NET Core e ASP.NET Core? O .NET Core é uma

Manter uma documentação de API incompleta e desatualizada é extremamemte prejucial para o time de desenvolvimento e com altos riscos de segurança. Improper Inventory Management é o nome que se dá para vulnerabilidades encontradas em APIs que possuem falta de informações e atualizações na documentação. Essa vulnerabilidade se encontra em

Nesse artigo, veremos como ocorre a vulnerabilidade conhecida como: "Security Misconfiguration". Essa vulnerabilidade é muito encontrada em cenários reais, portanto está na oitava posição do OWASP API Security Top 10. O que é Security Misconfiguration? O Security Misconfiguration é uma vulnerabilidade que se baseia na configuração insegura de

No OWASP TOP 10 API 2023 foi incluída uma nova vulnerabilidade conhecida como Unrestricted Access to Sensitive Business Flows, ela se encontra em 6º lugar no OWASP TOP 10 API 2023. O que é o Unrestricted Access to Sensitive Business Flows? O Unrestricted Access to Sensitive Business Flows é uma

No OWASP TOP 10 API 2023 foi incluída uma nova vulnerabilidade conhecida como Broken Function Level Authorization. Nesse artigo vamos conhecer essa vulnerabilidade. O que é o Broken Function Level Authorization? O Broken Function Level Authorization é uma vulnerabilidade que permite com que um atacante acesse funções em endpoints que

Broken Authentication é uma das vulnerabilidades destacadas no OWASP API TOP 10 2023 RC. O que é o Broken Authentication? O Broken Authentication é um vulnerabilidade encontrada em APIs que permite com que o atacante acesse endpoints ou execute determinadas ações sem autenticação. Vulnerabilidades que permitem um atacante se autenticar

A vulnerabilidade Unrestricted Resource Consumption foi adicionada no OWASP API TOP 10 2023 RC. Essa vulnerabilidade substitui a Lack of Resources & Rate Limiting do OWASP API TOP 10 2019. O que é Unrestricted Resource Consumption? Essa vulnerabilidade engloba qualquer consumo de recursos irrestrito que tenha em sua API, como

Broken Object Property Level Authorization é a nova vulnerabilidade inserida no OWASP TOP 10 2023 RC (Release Candidate). O que é o Broken Object Property Level Authorization? O Broken Object Property Level Authorization é uma vulnerabilidade encontrada em APIs que expõe e permite acesso a objetos que o usuário não

Nesse artigo, veremos um cenário onde podemos obter RCE explorando desserialização insegura via SSRF Protocol Smuggling. É um cenário bem complexo de ser explorado, e requer um conhecimento sobre desserialização insegura e SSRF Protocol Smuggling. Recomendo que você leia os artigos anteriores sobre desserialização insegura [https://blog.crowsec.com.br/

Nesse artigo, você vai aprender como comunicamos com alguns serviços através do SSRF utilizando a técnica conhecida como Protocol Smuggling. O que é o SSRF? SSRF é uma vulnerabilidade que permite com que o atacante faça requisições para a rede interna através de uma aplicação web. Para conhecer melhor essa

Nesse artigo, vamos falar sobre a desserialização insegura (especificamente no PHP), e como podemos obter RCE através dessa vulnerabilidade. É recomendado que você estude Orientação a Objetos antes de estudar desserialização insegura. O que é desserialização e serialização? Em alguns códigos POO, precisamos serializar objetos para alguns propósitos, e utilizamos

O Server-side request forgery (mais conhecido como SSRF) é uma vulnerabilidade muito encontrada em programas de bug bounty, e atualmente está inclusa no OWASP Api Security TOP 10. O que é o SSRF? O SSRF (Server-side request forgery) é uma vulnerabilidade que permite com que o atacante envie requisições utilizando

O que é o actuator ? O actuator é uma biblioteca do Spring Boot que fornece ferramentas para os desenvolvedores monitorarem o estado da aplicação. Ao instalar o actuator no Spring Boot, várias rotas são adicionadas ao projeto em "/actuator/{route}". Algumas dessas rotas informam se a aplicação está

O Broken Object Level Authorization, mais conhecido como (BOLA), esteve no topo da lista do OWASP API Security TOP 10 2019 ( e continua em 2023). O que é o BOLA? O BOLA é uma vulnerabilidade que se encontra em aplicações web, especificamente em APIs. Ela permite com que o atacante