Hacking Club

A desserialização insegura é uma vulnerabilidade crítica frequentemente explorada em pentests, pesquisas de Cyber Security e desafios de CTF (Capture The Flag), permitindo que atacantes manipulem objetos serializados para comprometer aplicações e executar código malicioso. Neste artigo, analisaremos como essa falha pode ser explorada em aplicações que utilizam o ASP.

A falta de documentação completa e atualizada de APIs representa um risco crítico em ambientes modernos de Cyber Security, podendo expor endpoints esquecidos, versões obsoletas e funcionalidades não monitoradas. Essa falha de governança é conhecida como Improper Inventory Management, uma vulnerabilidade comum em ecossistemas de APIs que dificulta o controle

Security Misconfiguration é uma das vulnerabilidades mais recorrentes em ambientes modernos de Cyber Security, afetando aplicações web, APIs e infraestruturas em nuvem configuradas de forma inadequada. Devido à sua alta incidência em cenários reais, o problema figura entre as principais ameaças listadas no OWASP API Security Top 10, ocupando a

A vulnerabilidade Unrestricted Access to Sensitive Business Flows destaca um dos riscos mais críticos em arquiteturas modernas de APIs, permitindo que atacantes abusem de fluxos lógicos essenciais da aplicação sem restrições adequadas de segurança. Devido à sua relevância em cenários reais, essa vulnerabilidade foi oficialmente incluída no OWASP API Security

A vulnerabilidade Broken Function Level Authorization (BFLA) é um dos problemas mais críticos em Cyber Security envolvendo APIs modernas, permitindo que usuários acessem funcionalidades e operações que deveriam estar restritas por níveis de permissão. Reconhecida por sua alta incidência em ambientes reais, essa vulnerabilidade integra o OWASP API Security Top

Broken Authentication é uma das vulnerabilidades mais críticas em Cyber Security, afetando mecanismos de autenticação responsáveis por validar a identidade de usuários e sistemas. Em APIs modernas, essa falha permite que atacantes acessem endpoints restritos, assumam contas de usuários ou executem ações sensíveis sem comprovar devidamente suas credenciais. Reconhecida entre

A vulnerabilidade Unrestricted Resource Consumption representa um risco crítico em Cyber Security, permitindo que atacantes explorem o consumo ilimitado de recursos computacionais em APIs modernas. Incluída no OWASP API Security Top 10 (2023) como sucessora da categoria Lack of Resources & Rate Limiting da edição de 2019, essa vulnerabilidade abrange

A vulnerabilidade Broken Object Property Level Authorization (BOPLA) representa uma falha crítica de controle de acesso em APIs modernas, permitindo que usuários acessem ou modifiquem propriedades específicas de objetos sem possuir os privilégios adequados. Diferente de falhas que expõem objetos inteiros, esse problema ocorre em níveis mais granulares da estrutura

A combinação de desserialização insegura com técnicas de SSRF Protocol Smuggling representa um dos vetores mais avançados de exploração em Cyber Security, permitindo que atacantes encadeiem vulnerabilidades para alcançar Remote Code Execution (RCE) em aplicações modernas. Esse tipo de ataque envolve manipulação sofisticada de protocolos e objetos serializados, explorando falhas

A técnica de SSRF Protocol Smuggling é um método avançado de exploração em Cyber Security que permite abusar de vulnerabilidades de Server-Side Request Forgery (SSRF) para se comunicar com serviços internos utilizando protocolos não previstos pela aplicação. Essa abordagem possibilita contornar filtros de segurança, manipular requisições em camadas inferiores da

A desserialização insegura é uma vulnerabilidade crítica amplamente explorada em Cyber Security, permitindo que atacantes manipulem objetos serializados para comprometer aplicações e alcançar Remote Code Execution (RCE). Em aplicações desenvolvidas com PHP, essa falha é especialmente perigosa quando mecanismos de serialização de objetos são utilizados sem validações adequadas. Neste artigo,

A vulnerabilidade Server-Side Request Forgery (SSRF) é amplamente explorada em cenários de Cyber Security, programas de bug bounty e desafios de CTF (Capture The Flag), permitindo que atacantes abusem de servidores vulneráveis para realizar requisições maliciosas em seu nome. O que é o SSRF? O SSRF (Server-side request forgery) é

O Spring Boot Actuator é um módulo amplamente utilizado em aplicações Java corporativas para monitoramento, observabilidade e diagnóstico de serviços em produção. Embora extremamente útil para equipes de desenvolvimento e DevOps, sua configuração inadequada pode expor informações sensíveis da aplicação, tornando-se um vetor relevante em cenários de Cyber Security, pentests

A vulnerabilidade Broken Object Level Authorization (BOLA) é uma das falhas mais críticas em Cyber Security envolvendo APIs modernas, permitindo que atacantes acessem objetos e registros que deveriam estar protegidos por mecanismos de autorização. Devido à sua alta incidência em aplicações reais, o BOLA ocupou o topo do ranking do