// blog técnico
Como funcionam — e como se defendem — as vulnerabilidades que mais aparecem nos nossos pentests. Conteúdo escrito por quem quebra aplicações para viver.
Guia prático de security headers: o que CSP, HSTS, X-Frame-Options, nosniff e companhia protegem, como a ausência é explorada num pentest e a linha exata de configuração por stack.
Um guia técnico de cada bypass de SSRF — representações de IP, contorno de allowlist, metadados de cloud, protocolos exóticos, DNS rebinding e parser confusion — com exemplos e a explicação do mecanismo por trás de cada um.
A sopa de letrinhas dos tokens explicada: o que são JWT, JWS, JWE, JWA e JWK, como o framework JOSE os conecta e por que um JWT quase sempre é, na verdade, um JWS.
Como o Broken Access Control (A01 do OWASP) e o IDOR permitem ler, alterar e apagar dados de outros usuários — e como autorização centralizada e checagem por objeto eliminam a falha.
Como JWTs mal validados levam a bypass de autenticação: alg none, confusão RS256 para HS256, segredo fraco quebrável e claims não verificadas — e como validar tokens com segurança.
Como a Server-Side Template Injection transforma um campo de texto em execução remota de código no servidor: detecção por engine (Jinja2, Twig, Freemarker), exploração no pentest e a defesa correta.
O guia completo de Cross-Site Scripting: os três tipos, contexto de injeção, blind e mutation XSS, exploração e a defesa moderna (encoding por contexto, CSP, Trusted Types).
Como discordâncias entre Content-Length e Transfer-Encoding permitem contrabandear requisições (CL.TE, TE.CL, TE.TE, downgrade de HTTP/2) — impacto, detecção e mitigação.
Como inputs não-keyed e confusão de path transformam o cache em arma: poisoning servido a todos e deception que vaza páginas autenticadas — com detecção e defesa real.
Como condições de corrida permitem resgatar cupons N vezes, burlar limites e gastar saldo duas vezes — o single-packet attack e a defesa com atomicidade e locks.
Como o CAPTCHA realmente funciona, onde encaixá-lo, a validação server-side que quase ninguém faz direito, seus bypasses e por que ele é uma camada — nunca a defesa inteira.
Como diferenças sutis em mensagens de login, cadastro e reset de senha permitem ao atacante descobrir contas válidas — e como respostas uniformes, tempo constante e rate limiting fecham o oráculo.
Como o SSRF transforma seu servidor em um proxy do atacante, do roubo de credenciais em metadados de nuvem aos bypasses de filtro por DNS rebinding e redirects — e a arquitetura de defesa correta.
Como o Cross-Site Request Forgery usa a sessão da vítima para executar ações sem o consentimento dela, e como tokens anti-CSRF, SameSite e verificação de Origin eliminam a falha.
Entenda em profundidade como o clickjacking engana o usuário sobreposições de iframes, por que frame busting falha e como X-Frame-Options, CSP frame-ancestors e SameSite blindam sua aplicação.
Nenhum artigo encontrado para essa busca.
