kilserv

Já viram meu artigo da minha primeira CVE? Logo logo posto as outras duas também. #bolhasec #bolhadev kilserv.vercel.app/research/churc…

@solotov_R6 Valeu demais, irmão! 🔥

@kilserv Mt interessante o post sobre SSRF irmão, repostado.

Bora falar de arte? 🎨 Hacking não é só achar um bug isolado, é saber encadear (chaining) as falhas pra destruir o ambiente. Hoje vou explicar como um SSRF "bobinho" vira um comprometimento total de cloud. Segue o fio que o pai tá inspiradoo 👇👇

Moral da história: nunca despreze um bug "low". Se você souber pra onde apontar o canhão, uma falha de info disclosure pode até virar um takeover completo. Quem aí já pegou um SSRF que deu acesso ao S3 ou EC2 dos caras? Conta a fofoca pra nóis🔥 #infosec #redteam #bolhasec

Dica pro recon: sempre testa se o server processa URL em exportação de PDF, webhooks ou profile pics.

@Rmeira_ @nico_sec Te mandei um salve!!

@kilserv @nico_sec Chama DM ai Kil a sua não está liberada, queria pegar uma visão contigo também.

Vejo muito iniciante se confundindo com as siglas da área... já vi mt gente achando que CTF e Bug Bounty é a msm coisa. Bora desfazer essa confusão rapidinho? segue ai. #bolhasec

@samu_etc Social empires e social wars era relíquia demais

Puxou do fundo do baú, usar cheat engine era obrigatório pra pegar gold infinito no transformice, social empires, AQW e afins

@VictorMontebel2 Opa, te mandei um salve na dm!

@kilserv Queria te chamar na dm mas n ta rolando, trocar uma ideia

BORA MELHORAR SEU CURRICULO???? pra galera que quer entrar na área, o maior erro que vejo eh a forma como vocês se vendem! um amigo meu que eh tech recruiter internacional me ensinou muito e me mandou um modelo de currículo que mudou a forma de me vender. segue ai embaixo o que aprendi e no final o link! 1. achievement vs task a maioria escreve currículo listando tarefas tipo: "responsável por X" ou "eu fiz Y". ninguém ta NEM AI pro que vc fazia, querem saber o que você CONQUISTOU. em vez de meter "gerenciei dashboards de monitoramento", escreve: "reduzi o tempo de resposta a incidentes em 40% implementando dashboards com Grafana". RESULTADO COM DADOS + FEZ O QUE + COMO 2. keywords e linkedin terminou o currículo? copia e cola no linkedin, na bio e nas descrições das experiências. recruiters buscam por keywords. se a vaga pede "pentester" e no seu perfil só tem "segurança ofensiva", você não vai aparecer pra ele. NÃO REPETE PALAVRAS. Tenta variar o máximo possivel, as vezes UMA keyword pode garantir tua vaga 3. profile a seção "profile" no currículo (= "sobre" no linkedin) eh seu pitch de 5 segundos. não joga tudo ali. destaca só a sua stack principal e o resumo das experiências mais relevantes. recruiter le isso primeiro. se não prender, não desce pro resto. lembra que o cara eh formado possivelmente em psicologia e nao em TI dica bônus: cria um prompt em alguma ia com o padrão "resultado + ferramenta + métrica" e pede pra reescrever suas experiências nesse formato. na entrevista, já vai preparado com os números pq vão te perguntar sobre eles. BONUS ""aiii mas eu nao tenho experiencia"" e o recruiter eh teu pai pra saber disso? nao vai inventar absurdos tambem pq nao tem so vc de malandro no mundo alem disso, você consegue comprovar que você tem experiencias com projetos práticos, ferramentas que você desenvolveu, labs que você criou, POSIÇÕES EM CTFS!!! e muito mais de maneira geral: - mete numero. impacto. porcentagem. - muitas keywords variadas que sejam alinhadas com o que voce quer. voce não sabe só xss, você sabe cross site scripting tambem. - uma bio que venda seu principal em 5 segundos - o mesmo conteúdo espelhado no LinkedIn sem mais blablabla SEGUE O LINK: drive.google.com/file/d/12zDNSv…

Pra fechar: estuda, pratica MUITO e n tenha medo de errar. A gente aprende mto mais no exploit q falhou do que no q deu certo de primeira. quem quiser saber mais de Bug Bounty ou Red Team dá um salve aí.

E o mais importante: n adianta querer pular etapa. vejo nego querendo fazer Red Team sem saber o básico de rede ou como um protocolo funciona. se vc n entende como o bagulho foi construído, vc n vai saber como quebrar ele de vdd. foca no fundamento q o resto vem.

@0xPira Te mandei um salve na dm

@kilserv só vamo meu irmao

TRIARAM E RETORNARAM QUE É VALIDO VAMOS PORRAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA agora vao investigar a fundo, corrigir e atribuir a criticidade!!! NOIS EH O TREM BALA 🚄🚄🚄🚄🚄