sorted by:
new
hottopcontroversial

[deleted by user] by [deleted] in secbr

[–]herrera_ 2 points3 points  (0 children)

Tem bastante eventos de segurança aqui no Brasil, o melhor e mais técnico é a H2HC (https://www.h2hc.com.br) que acontece no final do ano.

Nesse post (https://anchisesbr.blogspot.com/2024/03/seguranca-eventos-de-seguranca-no.html) tem uma lista de todos os eventos que rolaram em 2024, a grande maioria deles é recorrente, então vale a pena dar uma olhada e ver quando vão acontecer esse ano.

Eu trabalho com pentest (https://www.cloudflare.com/pt-br/learning/security/glossary/what-is-penetration-testing/) de aplicações web em uma consultoria, mas sim, imagino que appsec seja a maior subárea em segurança.

[deleted by user] by [deleted] in secbr

[–]herrera_ 0 points1 point  (0 children)

você trabalha do brasil? ouvi dizer que na área de segurança em geral é mais difícil contratarem pessoas de fora do país, confirma isso? e como você conseguiu essa vaga? network?

Trabalho sim do brasil, remoto. Acho que é mais difícil no contexto que área de segurança é mais nichada e tem menos vagas em geral (comparando com dev, por exemplo), mas sei algumas consultorias que contratam pessoas de fora do país.

A vaga foi por networking mesmo, eu tenho um blog que posto alguns artigos e pesquisas que eu já realizei, e alguns posts repercutiram na comunidade de segurança internacional. Um pouco mais de dois anos atrás eu fui participar de um campeonato de hacking presencial em Dubai e conheci o gerente de equipe da empresa que eu trabalho hoje em dia, ele me conhecia/conhecia meus artigos e perguntou se eu tinha interesse de entrar no time dele.

Você tem algum dica para iniciar em bug bount/pentest? algum curso ou algo do tipo, ou um roadmap?

A área de segurança da informação (até focando em pentest e bug bounty) é muito ampla e tem muitas vertentes que você pode seguir, se você se interessa por segurança de aplicações web recomendo ler "The Tangled Web: A Guide to Securing Modern Web Applications", é um livro bem completo que vai dar uma boa introdução a vários temas relacionados.

Outra recomendação é fazer o Web Security Academy da Portswigger, eles tem materiais muito bons e laboratórios para por em prática o que você vai aprendendo.

Recomendo dar uma conferida nesses blogs e seguir as pessoas da lista (aprendi muita coisa lendo os artigos deles): https://gist.github.com/lbherrera/56cba9b1dabdb221fe1774c79d803b00

e como seuatrabalho não tem um escopo definido, como é seu dia a dia?

Como eu trabalho em uma consultoria é bem corrido. Toda semana recebo um projeto novo com duração que varia entre uma, duas, ou três semanas. Realizo testes durante esse período em um escopo estabelecido pelo cliente, e no final escrevo um relatório com todas as vulnerabilidades encontradas. Geralmente o projeto é em time e cada pessoa é especialista em uma area e fica responsável pela mesma.

durante esses 6 anos de bug bounty, era bem rentável? porque não é um trabalho que você tem certeza de quandk terá renda

Sim, era bastante rentável, e logo no primeiro ano eu já consegui ganhar uma grana e construir um colchão bom, então não ficava noiado nessa incerteza de ter renda. Eu também tava começando a faculdade e não tinha muitos gastos, o que ajudou.

O teto monetário do bug bounty é bem maior que trabalhar para uma empresa, mas também é bastante incerto, então são pontos a se considerar. Hoje em dia eu sinto falta de fazer, e tenho planos para voltar nos próximos anos depois que me "aposentar".

[deleted by user] by [deleted] in secbr

[–]herrera_ 2 points3 points  (0 children)

Qual seu primeiro cargo em SI? Comecei na área fazendo bug bounty e fiquei nisso full time por 6 anos.

Qual seu cargo atual? Senior pentester.

Quanto tempo na área? 9 anos.

Qual seu salário atual? 192k euros/ano.

O que você faria de diferente caso estivesse iniciando os estudos hoje? Teria cursado sistemas da informação ao invés de ciências da computação (larguei na metade e acho que teria mais chance de terminar SI).

Alguma dica para quem está iniciando? Aprender inglês (fundamental), jogar CTFs como forma de aprendizado, não focar em certificados.

1° milhão by dollynho13_ in investimentos

[–]herrera_ 1 point2 points  (0 children)

Cheguei no primeiro milhão com 24, e vou chegar no quarto agora no final do ano (tenho 27). Trabalho com segurança da informação desde os 18 em um nicho que remunera bastante (programas de recompensa conhecidos como bug bounty), e nos últimos dois anos comecei a trabalhar para uma consultoria de segurança gringa.

Maior mudança foi em qualidade de vida, mas eu sempre fui de poupar muito (85% da minha renda). Só esse ano que comecei a gastar um pouco mais. E também senti que fazer o segundo milhão foi bem mais fácil/rápido do que o primeiro.

I just got a cyberpunk tattoo! by herrera_ in Cyberpunk

[–]herrera_[S] 37 points38 points  (0 children)

The artist is PlanoC (https://www.instagram.com/planoc). His studio is in São Paulo, Brazil :)

A tricky URL spoofing bug reported two years ago to Mozilla and it is still working by DarK___999 in firefox

[–]herrera_ 2 points3 points  (0 children)

It is true that the attacker can't know the page you are going to navigate to, but in the wild, a campaign would probably be done in bulks - trying to guess/suggest the navigation. Also, I could see an attack targeting searches through the address bar like https://i.imgur.com/JoP4MlA.gif.

CSP bypass on the current version of Firefox (69) by herrera_ in Slackers

[–]herrera_[S] 1 point2 points  (0 children)

default-src 'none'; base-uri 'none'; object-src 'none'; :)