Como não perder um tempo precioso ao testar um aplicativo web ou API’s com Burp Suite Em meus poucos anos fazendo pentesting web/API, foi a primeira vez que tive que pensar em como automatizar o processo de renovação de um token de autorização durante um bruteforcing com o Burp’s Intruder e ao usar o Burp’s […]
Durante a condução de um pentest blackbox [quando não há qualquer informação sobre o alvo, como tecnologias implementadas, credenciais ou formas de acesso] nos deparamos com uma tela de login em um aplicativo mobile em que consistia no preenchimento de 3 campos [Código da Empresa, Usuário e Senha], conforme podemos observar na imagem abaixo: Primeiramente, […]
Exploração da falha de configuração do JMX Jolokia Fazendo análise em um ambiente aparentemente comum, observamos muitas consultas a um servidor “gateway.empresa.com.br”. Como esta URL não fazia parte do nosso escopo, deixamos ela para olhar em outro momento. Ao dar continuidade no teste, fizemos scans de portas, enumeração de diretórios, tentativas de forçar uma recuperação […]
Recebemos um projeto para análise de vulnerabilidade em um aplicativo Android de forma a avaliar a segurança na construção do mesmo para que pudesse ser liberado na loja de aplicativos com as devidas funcionalidades e sem risco aos usuários do cliente em questão. Ao iniciarmos os testes no arquivo .apk realizamos a descompilação do mesmo […]
O time de especialista da IBLISS Digital Security, em especial nosso time de Pentester, diariamente, vivência aventuras e casos interessantíssimos em diversos ambientes diferentes. E para dividir todo esse conhecimento, este é o primeiro artigo de uma série de materiais que vamos divulgar sobre alguns cases e histórias vividas pelo nosso time técnico, com insights, […]