🔐 #Security
https://wintech.pt/w-news/25743-uso-de-passwords-inadequadas-esta-entre-as-principais-ameacas

Ftp Aberto que disponibiliza cursos, programação, engenharia e etc, segue o link abaixo; ftp://ftp.sm.ifes.edu.br/

4Nonimizer - A Tol For Anonymizing The Public IP Used To Browsing Internet, Managing The Connection To TOR Network And To Different VPNs Providers

- 7Proxies https://www.7proxies.com/
- AirVPN https://airvpn.org/
- Cryptostorm https://cryptostorm.is/
- Cyberghost https://www.cyberghostvpn.com/en_US/
- ExpressVPN https://www.expressvpn.com
- FreeVPN https://freevpn.me/
- HideMyAss https://www.hidemyass.com/
- IpPVanish https://www.ipvanish.com/
- NordVPN https://nordvpn.com
- PIA https://www.privateinternetaccess.com/
- ProntonVPN https://protonvpn.com/
- Proxy.sh https://proxy.sh/
- SlickVPN https://www.slickvpn.com
- StrongVPN https://strongvpn.com/
- TorGuard https://torguard.net/
- TunnelBear https://www.tunnelbear.com/
- VPNBook (por defecto) http://www.vpnbook.com/
- VPNGate http://www.vpngate.net/en/
- VPNKeys https://www.vpnkeys.com/
- VPNMe https://www.vpnme.me/
- Vyprvpn https://www.goldenfrog.com/es/vyprvpn


🌎@RubyOfSec

https://www.kitploit.com/2018/09/4nonimizer-tol-for-anonymizing-public.html

Ftp Livre, cursos e PDFs antigos; ftp://ftp.ufv.br/dma/tutoriais/

Door404 é Opendoor PHP de código aberto para servidores da Web Desenvolvido por MrSqar & Rizer
Este projeto foi desenvolvido por 2 motivos

Primeiro
"Ajudar os Iniciantes a aprender codificação."

Segundo
"Ajudar os gerentes de servidores novatos a aprender novos truques de proteção"

🌎@RubyOfSec

https://www.kitploit.com/2018/09/door404-php-backdoor-for-web-servers.html

Vazamento de Dados – Orozu – KelvinSecTeam

Nosso sistema de Monitoramento Avançado Persistente identificou uma publicação que aparentemente divulga vazamento de dados de ICO de uma criptomoeda chamada Orozu, o ICO da moeda ocorreu em maio de 2018.

A publicação no site de compartilhamento de texto Pastebin foi atribuída ao grupo de pesquisadores venezuelanos, KelvinSecTeam. Ela inclui dados pessoais de ao menos 54 proprietários da moeda (nome, e-mail, telefone, endereço de BTC e ETH), dentre os quais 14 pessoas de nacionalidade brasileira. (https://pastebin.com/9E945Ruk)

🌎@RubyOfSec

https://www.defcon-lab.org/vazamento-de-dados-orozu-kelvinsecteam/

Bypass WAF - burp

Essa extensão adiciona cabeçalhos a todas as solicitações Burp para ignorar alguns produtos WAF. Os cabeçalhos a seguir são automaticamente adicionados a todas as solicitações:

X-Originando-IP: 127.0.0.1
X-Forwarded-For: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1

Uso

Instalar o BApp Criar uma regra de manipulação de sessão no Burp que invoca essa extensão Modificar o escopo para incluir ferramentas e URLs aplicáveis ​​Configurar as opções de desvio na guia "Ignorar o WAF" Testar afastado

Mais informações podem ser encontradas em: https://www.codewatch.org/blog/?p=408

Bypass WAF contém os seguintes recursos:

Os usuários podem modificar os cabeçalhos X-Originating-IP, X-Forwarded-For, X-Remote-IP, X-Remote-Addr enviados em cada solicitação. Esta é provavelmente a melhor técnica de bypass da ferramenta.

Não é incomum que um WAF seja configurado para confiar em si próprio (127.0.0.1) ou em um dispositivo proxy upstream, que é o objetivo desse bypass.

O cabeçalho "Content-Type" pode permanecer inalterado em cada solicitação, removido de todas as solicitações ou modificado para uma das muitas outras opções para cada solicitação.

Alguns WAFs só decodificarão / avaliarão solicitações com base em tipos de conteúdo conhecidos, esse recurso tem essa vulnerabilidade.

O cabeçalho "Host" também pode ser modificado.

Os WAFs mal configurados podem ser configurados para avaliar somente solicitações com base no FQDN correto do host encontrado nesse cabeçalho, que é o objetivo desse desvio.

A opção de tipo de solicitação permite que o usuário Burp use somente as técnicas de bypass restantes no método de solicitação determinado de "GET" ou "POST", ou para aplicá-las em todas as solicitações.

O recurso de injeção de caminho pode deixar uma solicitação não modificada, inserir informações de informações de caminho aleatório (/path/to/example.php/randomvalue?restofquery) ou injetar um parâmetro de caminho aleatório (/path/to/example.php;randomparam=randomvalue? resetofquery). Isso pode ser usado para ignorar regras mal escritas que dependem de informações de caminho.

O recurso de ofuscação de caminho modifica a última barra invertida no caminho para um valor aleatório ou, por padrão, não faz nada.

A última barra pode ser modificada para um dos muitos valores que, em muitos casos, resultam em uma solicitação ainda válida, mas podem ignorar regras de WAF mal escritas que dependem de informações de caminho.

O recurso de ofuscação de parâmetro é específico do idioma. O PHP descartará um + no início de cada parâmetro, mas uma regra do WAF mal escrita pode ser escrita para nomes de parâmetros específicos, ignorando assim os parâmetros com um + no início.

Da mesma forma, o ASP descarta um% no início de cada parâmetro. O botão "Configurar configuração" ativa todas as configurações que você escolheu.

Todos esses recursos podem ser combinados para fornecer várias opções de desvio.

🌎@RubyOfSec

Ftp - Secretaria Municipal da Saúde, Há varios conteudos em PDFs que demostra açoes ou doenças conforme está no titulo do arquivo ftp://ftp.cve.saude.sp.gov.br

Ftp - Secretaria Municipal da Saúde ² ftp://ftp.saude.sp.gov.br/