Community 18/janeiro/2023 Fraudes nos E-commerces – Visão Brasil O sucesso dos e-commerces no Brasil é indiscutível e, claramente, carrega o ônus do crescimento das fraudes na mesma medida. Em 2021, por exemplo, houve um prejuízo de mais de R$7 bilhões relacionado a tentativas de fraudes, um aumento de 100% comparado ao ano anterior
Detection engineering 09/novembro/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 5 de 5 Detecção de Intrusão usando Generative Adversarial Networks
Detection engineering 26/outubro/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 4 de 5 Detecção de Intrusão usando Autoencoders
Detection engineering 13/outubro/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 3 de 5 Sistemas de Detecção de Intrusão baseados em One-Class Novelty Detection
Vulnerability Disclosure 30/setembro/2022 CVE-2022-2863: Plugin do WordPress WPvivid Backup na versão 0.9.76 e menores, permite leitura de arquivos arbitrários do servidor Desenvolvedores do plugin corrigiram e lançaram atualização corrigindo a falha em versão posterior
Web Application Security 01/setembro/2022 Cross-site Scripting (XSS), variantes e correção Constantemente mencionado no OWASP Top Ten, o XSS possibilita o sequestro de sessões, modificações da aplicação, redirecionamento para sites maliciosos, entre outros. Aqui abordaremos os conceitos e como evitar que ocorra em nossas aplicações
Detection engineering 18/agosto/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 2 de 5 Sistemas de Detecção de Intrusão Não Supervisionados usando Clustering
Detection engineering 23/junho/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 1 de 5 Sistemas de Detecção de Intrusão baseados em Assinaturas versus Anomalias
Cloud & Platform Security 08/junho/2022 Permissões indesejadas que podem causar impacto na segurança ao usar a política de ReadOnlyAccess na AWS Com essa análise inicial, pesquisadores da Tempest identificaram pelo menos 41 ações que podem levar ao acesso indevido aos dados
Vulnerability Disclosure 25/maio/2022 CVE-2021-46426: phpIPAM 1.4.4 permite XSS refletido e CSRF via funcionalidade de sub-redes A versão 1.4.4, encontra-se vulnerável a ataques do tipo Cross Site Scripting e Cross Site Request Forgery
Vulnerability Disclosure 11/maio/2022 CVE-2021-30140: Detecção de Vulnerabilidade XSS no Liquid Files LiquidFiles 3.4.15 armazenou XSS por meio da funcionalidade "enviar e-mail" ao enviar um arquivo por e-mail para um administrador.
Threat Intelligence 20/abril/2022 Trojan bancário Mekotio é identificado em nova campanha contra correntistas brasileiros O trojan, que supostamente teria origem no Brasil, dividiu o seu processo de infecção em múltiplos estágios de forma a dificultar o trabalho dos analistas de malware
Web Application Security 31/março/2021 Problemas comuns nas más implementações de regras de negócio e ausência da validação de dados – Parte 1 Esta é a primeira de uma série de publicações sobre falhas de segurança nas implementações no segundo fator de autenticação.
Software Security 27/janeiro/2021 É possível projetar uma boa experiência do usuário sem abrir mão da segurança? Se construímos um produto seguro para o usuário, também estamos falando de segurança e menos prejuízo para o negócio.
Web Application Security 31/dezembro/2020 Server Side Request Forgery — Ataque e Defesa Mais conhecido como SSRF, é uma vulnerabilidade que permite ao atacante realizar requisições através de um servidor vulnerável
Vulnerability Disclosure 11/março/2020 Vulnerabilidade no Avast Secure Browser possibilita escalação de privilégios no Windows Exploração abusa do recurso de hardlinks, que representa o conteúdo de arquivos no sistema NTFS
Community 18/janeiro/2023 Fraudes nos E-commerces – Visão Brasil O sucesso dos e-commerces no Brasil é indiscutível e, claramente, carrega o ônus do crescimento das fraudes na mesma medida. Em 2021, por exemplo, houve um prejuízo de mais de R$7 bilhões relacionado a tentativas de fraudes, um aumento de 100% comparado ao ano anterior
Detection engineering 09/novembro/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 5 de 5 Detecção de Intrusão usando Generative Adversarial Networks
Detection engineering 26/outubro/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 4 de 5 Detecção de Intrusão usando Autoencoders
Detection engineering 13/outubro/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 3 de 5 Sistemas de Detecção de Intrusão baseados em One-Class Novelty Detection
Vulnerability Disclosure 30/setembro/2022 CVE-2022-2863: Plugin do WordPress WPvivid Backup na versão 0.9.76 e menores, permite leitura de arquivos arbitrários do servidor Desenvolvedores do plugin corrigiram e lançaram atualização corrigindo a falha em versão posterior
Web Application Security 01/setembro/2022 Cross-site Scripting (XSS), variantes e correção Constantemente mencionado no OWASP Top Ten, o XSS possibilita o sequestro de sessões, modificações da aplicação, redirecionamento para sites maliciosos, entre outros. Aqui abordaremos os conceitos e como evitar que ocorra em nossas aplicações
Detection engineering 18/agosto/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 2 de 5 Sistemas de Detecção de Intrusão Não Supervisionados usando Clustering
Detection engineering 23/junho/2022 Fortalecendo Sistemas de Detecção de Intrusão com Machine Learning – Parte 1 de 5 Sistemas de Detecção de Intrusão baseados em Assinaturas versus Anomalias
Cloud & Platform Security 08/junho/2022 Permissões indesejadas que podem causar impacto na segurança ao usar a política de ReadOnlyAccess na AWS Com essa análise inicial, pesquisadores da Tempest identificaram pelo menos 41 ações que podem levar ao acesso indevido aos dados
Vulnerability Disclosure 25/maio/2022 CVE-2021-46426: phpIPAM 1.4.4 permite XSS refletido e CSRF via funcionalidade de sub-redes A versão 1.4.4, encontra-se vulnerável a ataques do tipo Cross Site Scripting e Cross Site Request Forgery
Vulnerability Disclosure 11/maio/2022 CVE-2021-30140: Detecção de Vulnerabilidade XSS no Liquid Files LiquidFiles 3.4.15 armazenou XSS por meio da funcionalidade "enviar e-mail" ao enviar um arquivo por e-mail para um administrador.
Threat Intelligence 20/abril/2022 Trojan bancário Mekotio é identificado em nova campanha contra correntistas brasileiros O trojan, que supostamente teria origem no Brasil, dividiu o seu processo de infecção em múltiplos estágios de forma a dificultar o trabalho dos analistas de malware
Web Application Security 31/março/2021 Problemas comuns nas más implementações de regras de negócio e ausência da validação de dados – Parte 1 Esta é a primeira de uma série de publicações sobre falhas de segurança nas implementações no segundo fator de autenticação.
Software Security 27/janeiro/2021 É possível projetar uma boa experiência do usuário sem abrir mão da segurança? Se construímos um produto seguro para o usuário, também estamos falando de segurança e menos prejuízo para o negócio.
Web Application Security 31/dezembro/2020 Server Side Request Forgery — Ataque e Defesa Mais conhecido como SSRF, é uma vulnerabilidade que permite ao atacante realizar requisições através de um servidor vulnerável
Vulnerability Disclosure 11/março/2020 Vulnerabilidade no Avast Secure Browser possibilita escalação de privilégios no Windows Exploração abusa do recurso de hardlinks, que representa o conteúdo de arquivos no sistema NTFS
