Mini treinamentos e Workshops a serem realizados no dia 17\/05\/2025<\/p>\n\n\n\n
Neste workshop intensivo de\u00a04 horas, vamos combinar\u00a0ferramentas open source,\u00a0LLMs locais\u00a0(multimodais e tradicionais) e\u00a0fluxos de automa\u00e7\u00e3o\u00a0para investigar e monitorar atividades il\u00edcitas em darknets como\u00a0Tor\u00a0e\u00a0ZeroNet.
Por meio de\u00a0exemplos pr\u00e1ticos, os participantes aprender\u00e3o a:<\/p>\n\n\n\n
O workshop ser\u00e1 composto por\u00a025% de teoria e 75% de pr\u00e1tica<\/strong>, utilizando exclusivamente\u00a0ambientes Linux<\/strong>\u00a0e\u00a0software open source<\/strong>. Em um cen\u00e1rio de amea\u00e7as cibern\u00e9ticas em constante evolu\u00e7\u00e3o, identificar e priorizar vulnerabilidades eficazmente \u00e9 fundamental. Este workshop pr\u00e1tico e imersivo introduzir\u00e1 a modelagem de amea\u00e7as, utilizando frameworks essenciais como STRIDE e MITRE ATT&CK. Por meio de um caso de estudo real, ser\u00e1 demonstrado como o OpenVAS auxilia na descoberta inicial de vulnerabilidades em um servidor. O diferencial reside na aplica\u00e7\u00e3o subsequente da modelagem de amea\u00e7as: os participantes analisar\u00e3o vulnerabilidades sob a perspectiva de atacantes, compreendendo vetores (STRIDE) e t\u00e1ticas\/t\u00e9cnicas (MITRE ATT&CK). Esse conhecimento permite priorizar vulnerabilidades estrat\u00e9gicamente, otimizando a corre\u00e7\u00e3o para os riscos mais significativos.<\/p>\n\n\n\n Pontos de Destaque:<\/p>\n\n\n\n Relev\u00e2ncia e Atualidade: Aborda um desafio cr\u00edtico da seguran\u00e7a da informa\u00e7\u00e3o. Aplicabilidade Pr\u00e1tica: Oferece habilidades e ferramentas diretamente utiliz\u00e1veis. Profundidade T\u00e9cnica Adequada: Integra identifica\u00e7\u00e3o (OpenVAS) com an\u00e1lise estrat\u00e9gica (STRIDE, MITRE ATT&CK). Aprendizado Ativo: Combina teoria e pr\u00e1tica via caso de estudo. Este workshop capacita profissionais a otimizar a gest\u00e3o de vulnerabilidades, tomando decis\u00f5es estrat\u00e9gicas e fortalecendo a seguran\u00e7a.<\/p>\n\n\n\n OBS: A VM com o servifor vulner\u00e1vel ser\u00e1 previamente disponibilizada aos participantes ou implementada em cloud.<\/p>\n\n\n\n Ao longo do tempo em que fa\u00e7o parte da comunidade de ciberseguran\u00e7a, tive e tenho contato com v\u00e1rios profissionais que, falando exclusivamente do ponto de vista t\u00e9cnico, s\u00e3o excepcionais, outros muito bons e outros nem tanto.<\/p>\n\n\n\n Fa\u00e7o quest\u00e3o de frisar o termo \u201cponto de vista t\u00e9cnico\u201d, pois este conhecimento, por mais que seja determinante, ainda n\u00e3o \u00e9 suficiente para moldar um bom profissional.<\/p>\n\n\n\n O lugar onde quero chegar \u00e9: na dificuldade que vejo com frequ\u00eancia de um cara bom, saber comunicar o impacto dos findings em um projeto de ciberseguran\u00e7a ao ponto que seu trabalho seja compreendido e reconhecido pelo cliente (sim, quem tem que compreender o risco de uma vulnerabilidade \u00e9 o cliente, n\u00e3o os outros coleguinhas da \u00e1rea), em outras palavras, saber hackear n\u00e3o significa absolutamente nada na \u00e1rea de seguran\u00e7a, SE voc\u00ea n\u00e3o souber demonstrar o impacto do seu hacking.<\/p>\n\n\n\n Exemplificando isso tudo a\u00ed de cima, vamos supor que o cara encontrou um XSS em um ponto cr\u00edtico de uma aplica\u00e7\u00e3o, esta vulnerabilidade permite exfiltrar diversos dados sens\u00edveis, a\u00ed na prova de conceito apresentada para o cliente, a \u00fanica imagem no relat\u00f3rio \u00e9 aquele famoso alert(1) ou alert(“XSS”).<\/p>\n\n\n\n Ok, o alert(1) prova que existe um XSS ali, mas o seu cliente n\u00e3o sabe, e muitas vezes nem tem a obriga\u00e7\u00e3o de saber que a execu\u00e7\u00e3o de uma carga JavaScript no navegador da v\u00edtima pode levar a uma infinidade de coisas das mais diversas criticidades. Para ele, seu ataque resultou em abrir um \u201cpop-up\u201d no navegador.<\/p>\n\n\n\n Por outro lado, temos outro vi\u00e9s, onde o cara encontra um XSS, por\u00e9m n\u00e3o consegue exfiltrar um cookie, por exemplo, seja por um hardening nos headers da aplica\u00e7\u00e3o, ou qualquer outro motivo, e por conta disso, n\u00e3o tem a \u201cmalicia\u201d de montar um ataque mais elaborado. Com isso, ele acaba categorizando este finding com severidade baixa justamente por n\u00e3o saber ou ter a criatividade de montar ataques mais complexos com JavaScript para causar mais impacto, pois em todo seu aprendizado, nunca acabou saindo do alert(1).<\/p>\n\n\n\n Sabendo que eu n\u00e3o sou um dos caras excepcionais, mas tamb\u00e9m n\u00e3o sou dos piores (espero eu), vou deixar meus 10 centavos aqui. Com base em alguns treinamentos que j\u00e1 fiz, e outros ataques que j\u00e1 realizei (profissionalmente), decidi criar um material com a inten\u00e7\u00e3o de abrir o leque no que diz respeito a ataques baseados em JavaScript.<\/p>\n\n\n\n Se tratam de 21 \u201ctasks\u201c baseadas em ataques XSS que evoluem sua complexidade gradativamente. Nada que seja muito complexo no final, afinal a inten\u00e7\u00e3o n\u00e3o \u00e9 ensinar JavaScript, mas sim a \u201cmaldade\u201d em causar impacto neste tipo de ataque. Para que este possa ser percebido e priorizado quando um cliente recebe um relat\u00f3rio.<\/p>\n\n\n\n Objetivo Bom, vamos come\u00e7ar com o que n\u00e3o \u00e9 o objetivo deste projeto:<\/p>\n\n\n\n Como comentado acima, o objetivo aqui n\u00e3o \u00e9 ensinar JavaScript, ainda mais porque saber esta linguagem ao menos no ponto de entender um script, faz parte do b\u00e1sico pra quem \u00e9 da \u00e1rea. Saber demonstrar o impacto de um XSS encontrado; Mini treinamentos e Workshops a serem realizados no dia 17\/05\/2025 T\u00edtulo: Ciberintelig\u00eancia em Darknets com LLMs Locais e Multimodais Open Source: Investiga\u00e7\u00e3o e Automa\u00e7\u00e3o na Pr\u00e1tica Descri\u00e7\u00e3o: Neste workshop intensivo de\u00a04 horas, vamos combinar\u00a0ferramentas open source,\u00a0LLMs locais\u00a0(multimodais e tradicionais) e\u00a0fluxos de automa\u00e7\u00e3o\u00a0para investigar e monitorar atividades il\u00edcitas em darknets como\u00a0Tor\u00a0e\u00a0ZeroNet.Por meio de\u00a0exemplos pr\u00e1ticos, os participantes… Continue a ler »Treinamentos<\/span><\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"neve_meta_sidebar":"","neve_meta_container":"","neve_meta_enable_content_width":"","neve_meta_content_width":0,"neve_meta_title_alignment":"","neve_meta_author_avatar":"","neve_post_elements_order":"","neve_meta_disable_header":"","neve_meta_disable_footer":"","neve_meta_disable_title":"","footnotes":""},"class_list":["post-1168","page","type-page","status-publish","hentry"],"_links":{"self":[{"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/pages\/1168","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/comments?post=1168"}],"version-history":[{"count":7,"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/pages\/1168\/revisions"}],"predecessor-version":[{"id":1718,"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/pages\/1168\/revisions\/1718"}],"wp:attachment":[{"href":"https:\/\/securitybsides.com.br\/2025\/wp-json\/wp\/v2\/media?parent=1168"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
Uma experi\u00eancia\u00a0imersiva<\/strong>, voltada para profissionais de\u00a0seguran\u00e7a da informa\u00e7\u00e3o<\/strong>,\u00a0OSINT<\/strong>,\u00a0threat intelligence<\/strong>\u00a0e\u00a0analistas<\/strong>\u00a0que desejam ampliar sua caixa de ferramentas com\u00a0LLMs e automa\u00e7\u00e3o<\/strong>.<\/p>\n\n\n\nInstrutores:<\/strong> Francisco J. Rodr\u00edguez Montero<\/a> e Pollyne Zunino<\/a><\/h4>\n\n\n\n
\n\n\n\nT\u00edtulo: Modelagem de amea\u00e7as para prioriza\u00e7\u00e3o de vulnerabilidades<\/h4>\n\n\n\n
Descri\u00e7\u00e3o:<\/h4>\n\n\n\n
Instrutor: Osmany Arruda<\/a><\/h4>\n\n\n\n
\n\n\n\nT\u00edtulo: Crossing the Line: XSS Unleashed<\/h4>\n\n\n\n
Descri\u00e7\u00e3o:<\/h4>\n\n\n\n
O objetivo n\u00e3o \u00e9 mostrar como encontrar um XSS, ainda mais porque cada caso \u00e9 um caso e para facilitar tudo aqui, o ponto de inje\u00e7\u00e3o \u00e9 bem expl\u00edcito.
O objetivo n\u00e3o \u00e9 mostrar qualquer tipo de bypass, bypass \u00e9 uma ci\u00eancia completa, e n\u00e3o existe uma forma de ensinar, justamente porque n\u00e3o existe a forma certa.
Com isso em mente, podemos dizer claramente que o objetivo do projeto Crossing the Line: XSS Unleashed \u00e9 exclusivamente expandir os horizontes de ataque, quando uma situa\u00e7\u00e3o de XSS \u00e9 encontrada. Tendo em vista dois pontos principais:<\/p>\n\n\n\n
Encontrar formas criativas de ataques que possam elevar o n\u00edvel de criticidade de um XSS encontrado.<\/p>\n\n\n\nInstrutor: Leonardo Toledo<\/a><\/h4>\n","protected":false},"excerpt":{"rendered":"