Art. 2o Acessar, mediante violação de segurança, inteiramente ou em parte, dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Redação dada pela Lei nº 12.737, de 2012). Nada foi explorado, nem instalado nenhuma vulnerabilidade,nenhum verbo praticado em relação ao vídeo.😊
ele acessou, inteiramente ou em parte, dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo???? o texto é claro, acessou sem autorização.
volte para o ensino medio e estude interpretação de texto pois no Brasil também é considerado crime realizar varreduras de rede em sites do governo sem autorização prévia. O Código Penal Brasileiro, em seu artigo 154-A, estabelece que invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita é crime, com pena de detenção de três meses a um ano, e multa. Este tipo de conduta se enquadra nessa categoria, portanto, é ilegal.
Acho muito interessante que você que tem prática e entendimento sobre o assunto ( TI e programação) usa o chatgpt como uma forma de melhorar seu trabalho e ter ajuda. Tô aprendendo a programar e ainda é difícil pra mim, mas espero um dia melhorar. Muito interessante seu vídeo. Parabéns
Acredito que o chatgpt só tende a crescer, ele tá sendo mais prático de usar do que o próprio Google, se vc estiver agarrado em uma parte do código, ele te ajuda, porém tem o lado ruim as pessoas vão se acostumar a não pensar e a não desenvolver o raciocínio lógico.
Explicação : (DoS) "Denial of serviçe attack", traduzindo "Ataque de negação de serviço" e um ataque que consiste em uma inundação de "IPs" ou requisições, falsas, mandada para um "conexão ou IP" sendo IPs falsos, que acaba enchendo a conexão do site que faz o site cair, porque ele não consegue responder todos os pedidos de conexão. Tem vários tipos de DOS como o (DoS) baseado em falha (como podemos ver a e no vídeo) ou o (DoS) na força bruta, onde o hacker ele, só faz o ataque sem, ver quais portas estão abertas ou quais vulnerabilidade, onde e tudo ou nada, o forte vs o mais fraco !!!
realizar um scan com o Nmap pode potencialmente comprometer ou diminuir a disponibilidade de uma página, especialmente se o scan for agressivo ou mal configurado. Aqui estão algumas maneiras pelas quais isso pode acontecer: Carga adicional nos servidores: Um scan Nmap pode gerar uma carga adicional nos servidores do site alvo, especialmente se o scan for realizado de forma agressiva ou com muitas solicitações em um curto período de tempo. Isso pode sobrecarregar os servidores, diminuindo sua capacidade de responder a solicitações legítimas de outros usuários. Identificação como ataque DDoS: Um scan Nmap pode ser interpretado pelos sistemas de defesa do site como um ataque de negação de serviço distribuído (DDoS). Isso pode levar a medidas defensivas, como bloqueio de IP ou redirecionamento de tráfego, o que pode resultar na indisponibilidade temporária do site. Interrupção de serviços: Alguns serviços e firewalls podem interpretar o tráfego gerado pelo Nmap como uma atividade suspeita ou maliciosa e bloquear ou interromper o acesso ao site temporariamente como medida de segurança. Por esses motivos, é crucial obter autorização antes de realizar qualquer tipo de varredura de rede, especialmente em sites governamentais ou de terceiros, e garantir que o scan seja conduzido de forma responsável e ética, evitando interferências indevidas na disponibilidade dos serviços.
Sim mais a maiorias dos ataques DoS é muito mal utilizado hoje em dia pois este tipo de ataque hoje em dia é muito importante de investigar por todas as regiões principalmente em sites html ,e importantes para o governo , devemos manter legalmente e manter a postura de um cidadão de bem e uma pessoa que sabe ter ética , e que não cometa crimes e que seja legalmente , alem do que isto é crime , e devemos manter sempre informados , enfim ataque DoS é muito importante de investigar em cada canto ou Denial Of Serviçe Conheçido como Ataque de Negação de Serviço Que no caso é de requisição feito a explicação pena que sites wordpress tem como fazer esses testes com nosso servidor wordpress, mais ele vai provalvelmente possuir falha de ataque Shellphp5 , ou Http request que é muito avançado e importante de aprender que bom que hoje nos temos pessoas e entre outras coisas que trabalham na cybersegurança sempre pro bem! , A falha do wordpress DoS se chama Distribued Denial Of Service
Irmão, ainda que voce ja tenha avisado ao adm do site, voce nao pode sair por ai auditando os sites nao. Se a policia bater na sua porta e pedir o termo de autorização para realização do teste , o que o senhor vai fazer???
Concordo, a pouco tempo descobri uma falha em sistema da instituição federal onde estudo. Tive que escrever um relatório enorme, e até que a falha seja solucionada, não posso dar detalhes.
;| não liga para esses caras que acham que entende de lei, na maioria são pessoas com inveja por não saber metade do que tu mostrou no vídeo. Parabéns pelo conteúdo. 👏👏
O guerreiro, você tem coragem pra mostrar detalhadamente como fez um atak de NMAP em um site .GOV, e ainda mais, mostrar seu rosto. Mas parabens pelo video, to iniciando agora nessa area e pretendo ir mais a fundo.
Show de bola !!! Mas vai uma dica, tira essas legendas automaticas do video. É horrivel acompanhar a explicação e enxergar os comandos no terminal, porque toda hora a legenda fica na tela. Abraços
Obrigado pelo feedback camarada, esse foi meu segundo vídeo ainda aprendendo a editar, mas os vídeos seguintes (como os hackers ficam anônimos e engenharia social hacker já foram sem legendas)
Dica: Para não estar a dar o comando "sudo" toda vez que queres executar qualquer comado (o que deixa cansativo), é só dar um " sudo su ", pôr a palavra-passe e você vai estar o modo root da maquina. Não precisa dar " sudo nmap ... " ou " sudo sqlmap ... ", é só criar o hábito de logo que for a abrir o terminal, dar o "sudo su", por a senha e executar os comandos normalmente.
1. O utilitário sudo é diferente de root. Usando sudo você ainda está na conta normal, enquanto "sudo su" (acho que não é necessário escrever assim, o correto é su - root) vai para a conta root. Usar o utilitário sudo deixa você mais protegido do que ir diretamente para o root. 2. Não é cansativo, você que é preguiçoso.
@@bsterthegawd0x81.c Fecho contigo. Sudo é usado exatamente para evitar de se usar a conta root. Tem anos que não habilito a conta root no meus sistemas. Cá entre nós, não é custoso em termos de tempo usar comando sudo. Mas cada um é cada um.
Não sei se expliquei bem no vídeo, tento explicar o mais simples possível pra quem ta começando, mas vou tentar complementar rs. -sS no Nmap, ele faz uma varredura chamada "TCP SYN scan". Isso envolve enviar um tipo especial de mensagem para verificar se as portas de um computador estão abertas ou fechadas. Se uma porta está aberta, o alvo responde de uma maneira específica. Se a porta está fechada, a resposta é diferente. Essa técnica é usada porque é mais discreta, tornando mais difícil para os sistemas de segurança detectarem a varredura. Uma forma mais "barulhenta" de varredura seria usando a opção -sT no Nmap. Isso faz uma varredura de conexão completa, onde o Nmap tenta estabelecer uma conexão TCP completa com cada porta que está sendo verificada. Isso pode ser mais facilmente detectado pelos sistemas de segurança, pois completa a conexão TCP, deixando um rastro mais visível.
Foi pra mostrar que existe a opção de testar o banco de dados , assim como tem a opção --script malware o nmap da pra fazer muitas coisas não dá pra falar em uma aula
se ao invés deu colocar o link do site, eu usar esses mesmos comandos mais utilizando o ip do servidor no final do comando (onde ficaria o link), o escaneamento da certo também ou iria dar erro ?
Eu comecei com o backtrack2 depois pulei pro Kali Linux gostei e fiquei desde então, mas o parrot tem ganhado minha simpatia, na verdade o blackArch nunca testei
@@playgo4352 o site teria que ter falha de SQL ou PHP injection se fosse o caso com uma Shell era só acessar o banco de dados e mudar os dados no banco de dados, seja usuário, email, senha etc.. qualquer coisa. Apartir do momento que um hacker consegue acesso ele pode fazer qualquer coisa, criar, excluir ou modificar
Até entrar no site de organizadora de concurso público e alterar os aprovados desse concurso ? Colocando o nome de um candidato que não foi aprovado, por exemplo ???
Existem várias portas a 80 é padrão pra conexão com a Internet, qualquer porta só em estar aberta não quer dizer que é uma falha e que vai conseguir acessar por ela. É sempre bom passar um scanner e conferir quais serviços rodam em qual porta é se alguma é desconhecida
não assisti o video completo fiquei com preguiça mas até onde vi ele só citou de um ataque (DOS) que não é muito "perigoso" mas sim muito chato, basicamente o site iria ficar lento pra caramba ou até mesmo ficar inativo, mas os desenvolvedores iriam ver isso e consertar logo
Depende do que vc considera leve, a interrupção do serviço que o site dispõe, qual prejuízo ele terá em ficar off-line mesmo que temporariamente ? Tem q pensar nisso pra considerar se uma falha é grave ou não.
@@Gabriel-kz2ws começa com os fundamentos de redes, aprende um pouco de backend em linguagens diferentes, arquitetura linux pra nao ficar perdido na linha de comando, resumindo: Antes de aprender usar ferramentas qualquer uma que seja, veja como as coisas funcionam, aprenda desenvolver o básico, vc vai ter um bom background
Bem explicado @tux1337py aprender uma linguagem de programação ajuda mas não é tudo. Começa instalando o Kali Linux em um máquina virtual, começa a futucar as ferramentas que já vem por padrão, curso vc pode aprender fazendo uma certificação CEH (inglês e teórica ) OSCP ( inglês e prática ) oi DCPT ( português e prática) , eu não dou curso, pois sou apenas um consultor de pentest, mas estou começando a pensar , não imaginava que as pessoas iriam se interessar tanto pelo assunto.
Vdd a curiosidade e a prática superam o talento com certeza, negócio é futricar mesmo até entrar na cabeça, pode ir fundo nos ensinamentos, ensina a galera se incluir melhor no meio corporativo com oportunidades promissoras, no meio underground da Internet tem muito "moleque" talentoso que gostaria de ter chances de prestar serviços assim
puts, udp com status open é pedir DDOS, pórem espero que pelo menos tenha uma cabeça la no gov que tenha botado um fail2ban,firewall ou coisa do tipo, kkkk
Cara, testar nmap em sites que você nao teve autorização pra usar é basicamente crime, há milhares de sites com vulnerabilidades, falar com o adm é basicamente dizer que vc cometeu um crime e geralmente não resolvem o problema, cuidado ai
Bem vindo meu camarada e obrigado pela preocupação. A Lei 12.965 conhecida como marco da internet e a Lei 12.737 sobre crimes virtuais não diz nada sobre scanear o site em busca de falhas porém se fosse o caso de praticar os verbos ( invadir, dados, alterar ou destruir,instalar vulnerabilidades,vender programa que exploram vulnerabilidades,) vale apena a leitura dessas leis 😊. Mas resumindo a não ser que eu esteja errado o crime se inicia no momento que vc invade um dispositivo explorando uma falha, no caso eu apenas informei a falha e não como explorar o slowloris isso é fácil aprender na internet
@@Liza-1033 ele fez o teste e mandou depois pro administrador, ele deveria ter pedido permissao para realizar o teste antes, ele cometeu um crime e pode responder legalmente se o dono do site for um otario.
@@Liza-1033 enviar email não o autoriza. no Brasil também é considerado crime realizar varreduras de rede em sites do governo sem autorização prévia. O Código Penal Brasileiro, em seu artigo 154-A, estabelece que invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita é crime, com pena de detenção de três meses a um ano, e multa. Este tipo de conduta se enquadra nessa categoria, portanto, é ilegal no Brasil.
@@Babayaga0800 se o sistema nao tem um vdp ou um programa de bug bounty, nao se testa a segurança, se o adm quiser pode incriminar ele por fazer testes sem a devida autorizaçao mesmo que ele tenha avisado sobre as falhas. outro ponto, em vdp e programas de bug bounty voce so pode divulgar as falhas que voce achou depois que a empresa corrigiu todos, alguem pode ver o video e usar essas informaçoes sobre as falhas no sistema para fazer o mal
@@PentestEstrategico o adm do sistema pode nao gostar de ter alguem procurando falhas no seu sistema, pode dar ruim mesmo com boas intenções, outra coisa mesmo que nao haja crime em procurar as falhas e reportar ao adm, acho que divulgar elas antes de serem corrigidas nao é muito legal, procure VDPs sao boas opçoes para aprender e praticar hacking sem correr o risco de alguem nao gostar e dar ruim, so seguir as regras
Art. 2o Acessar, mediante violação de segurança, inteiramente ou em parte, dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita: (Redação dada pela Lei nº 12.737, de 2012). Nada foi explorado, nem instalado nenhuma vulnerabilidade,nenhum verbo praticado em relação ao vídeo.😊
ele acessou, inteiramente ou em parte, dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo???? o texto é claro, acessou sem autorização.
entenda o "ou".
volte para o ensino medio e estude interpretação de texto pois no Brasil também é considerado crime realizar varreduras de rede em sites do governo sem autorização prévia. O Código Penal Brasileiro, em seu artigo 154-A, estabelece que invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita é crime, com pena de detenção de três meses a um ano, e multa. Este tipo de conduta se enquadra nessa categoria, portanto, é ilegal.
Idai?@@ThyagoVitorSampaio
@@KalStick cria um video fazendo o mesmo e linka aqui para eu te denunciar ao ministerio publico tbm?
Acho muito interessante que você que tem prática e entendimento sobre o assunto ( TI e programação) usa o chatgpt como uma forma de melhorar seu trabalho e ter ajuda. Tô aprendendo a programar e ainda é difícil pra mim, mas espero um dia melhorar. Muito interessante seu vídeo. Parabéns
Acredito que o chatgpt só tende a crescer, ele tá sendo mais prático de usar do que o próprio Google, se vc estiver agarrado em uma parte do código, ele te ajuda, porém tem o lado ruim as pessoas vão se acostumar a não pensar e a não desenvolver o raciocínio lógico.
Explicação : (DoS) "Denial of serviçe attack", traduzindo "Ataque de negação de serviço" e um ataque que consiste em uma inundação de "IPs" ou requisições, falsas, mandada para um "conexão ou IP" sendo IPs falsos, que acaba enchendo a conexão do site que faz o site cair, porque ele não consegue responder todos os pedidos de conexão. Tem vários tipos de DOS como o (DoS) baseado em falha (como podemos ver a e no vídeo) ou o (DoS) na força bruta, onde o hacker ele, só faz o ataque sem, ver quais portas estão abertas ou quais vulnerabilidade, onde e tudo ou nada, o forte vs o mais fraco !!!
realizar um scan com o Nmap pode potencialmente comprometer ou diminuir a disponibilidade de uma página, especialmente se o scan for agressivo ou mal configurado. Aqui estão algumas maneiras pelas quais isso pode acontecer:
Carga adicional nos servidores: Um scan Nmap pode gerar uma carga adicional nos servidores do site alvo, especialmente se o scan for realizado de forma agressiva ou com muitas solicitações em um curto período de tempo. Isso pode sobrecarregar os servidores, diminuindo sua capacidade de responder a solicitações legítimas de outros usuários.
Identificação como ataque DDoS: Um scan Nmap pode ser interpretado pelos sistemas de defesa do site como um ataque de negação de serviço distribuído (DDoS). Isso pode levar a medidas defensivas, como bloqueio de IP ou redirecionamento de tráfego, o que pode resultar na indisponibilidade temporária do site.
Interrupção de serviços: Alguns serviços e firewalls podem interpretar o tráfego gerado pelo Nmap como uma atividade suspeita ou maliciosa e bloquear ou interromper o acesso ao site temporariamente como medida de segurança.
Por esses motivos, é crucial obter autorização antes de realizar qualquer tipo de varredura de rede, especialmente em sites governamentais ou de terceiros, e garantir que o scan seja conduzido de forma responsável e ética, evitando interferências indevidas na disponibilidade dos serviços.
@@ThyagoVitorSampaio isso saiu literalmente do chat gpt
@@greenterminal1 se o cara usa o chatgpt para criar ataque eu nao posso fazer o mesmo?
@@ThyagoVitorSampaiopode eu faço e da certo ✔️
Sim mais a maiorias dos ataques DoS é muito mal utilizado hoje em dia pois este tipo de ataque hoje em dia é muito importante de investigar por todas as regiões principalmente em sites html ,e importantes para o governo , devemos manter legalmente e manter a postura de um cidadão de bem e uma pessoa que sabe ter ética , e que não cometa crimes e que seja legalmente , alem do que isto é crime , e devemos manter sempre informados , enfim ataque DoS é muito importante de investigar em cada canto ou Denial Of Serviçe Conheçido como Ataque de Negação de Serviço Que no caso é de requisição feito a explicação pena que sites wordpress tem como fazer esses testes com nosso servidor wordpress, mais ele vai provalvelmente possuir falha de ataque Shellphp5 , ou Http request que é muito avançado e importante de aprender que bom que hoje nos temos pessoas e entre outras coisas que trabalham na cybersegurança sempre pro bem! , A falha do wordpress DoS se chama Distribued Denial Of Service
Irmão, ainda que voce ja tenha avisado ao adm do site, voce nao pode sair por ai auditando os sites nao. Se a policia bater na sua porta e pedir o termo de autorização para realização do teste , o que o senhor vai fazer???
Kkkkkkkk isso é lenda, cara.
Quase todos os sites do governo são invadidos diariamente e usados..
Já descobri varias, ninguém faz merda nenhuma até ter uma deface no site. GOV é perca de tempo pra ethical hacking
Concordo, a pouco tempo descobri uma falha em sistema da instituição federal onde estudo. Tive que escrever um relatório enorme, e até que a falha seja solucionada, não posso dar detalhes.
@@cyberspace3654 E o Hacker do Bem? 😋
Ele está contribuindo com a segurança do ambiente e ainda vai ser preso? Merecia uma renumeração.
Parabéns irmão pelo vídeo excelente explicação.
;| não liga para esses caras que acham que entende de lei, na maioria são pessoas com inveja por não saber metade do que tu mostrou no vídeo. Parabéns pelo conteúdo. 👏👏
O guerreiro, você tem coragem pra mostrar detalhadamente como fez um atak de NMAP em um site .GOV, e ainda mais, mostrar seu rosto. Mas parabens pelo video, to iniciando agora nessa area e pretendo ir mais a fundo.
Parabéns mano Top demais seu video, Obrigado
Verdadeira aula e de graça
Show de bola !!! Mas vai uma dica, tira essas legendas automaticas do video. É horrivel acompanhar a explicação e enxergar os comandos no terminal, porque toda hora a legenda fica na tela. Abraços
@Dosiasz ele ativar a legenda do youtube ué
Obrigado pelo feedback, vou tentar melhorar as legendas 😅
Vídeo muito bom estou aprendendo muito sobre pentest :)
Bom video mano! Unico ponto ruim foram as legendas que além de ter muita coisa errada por ser feita via IA ficou encima do conteudo do video
Obrigado pelo feedback camarada, esse foi meu segundo vídeo ainda aprendendo a editar, mas os vídeos seguintes (como os hackers ficam anônimos e engenharia social hacker já foram sem legendas)
Dica: Para não estar a dar o comando "sudo" toda vez que queres executar qualquer comado (o que deixa cansativo), é só dar um " sudo su ", pôr a palavra-passe e você vai estar o modo root da maquina. Não precisa dar " sudo nmap ... " ou " sudo sqlmap ... ", é só criar o hábito de logo que for a abrir o terminal, dar o "sudo su", por a senha e executar os comandos normalmente.
Bem lembrado meu camarada, obrigado pela dica
De nada amigo, estou a espera de novos vídeos 😂😂
@@PentestEstrategico, vc não usou proxychains? Obrigado pelo vídeo.
1. O utilitário sudo é diferente de root.
Usando sudo você ainda está na conta normal, enquanto "sudo su" (acho que não é necessário escrever assim, o correto é su - root) vai para a conta root.
Usar o utilitário sudo deixa você mais protegido do que ir diretamente para o root.
2. Não é cansativo, você que é preguiçoso.
@@bsterthegawd0x81.c Fecho contigo. Sudo é usado exatamente para evitar de se usar a conta root. Tem anos que não habilito a conta root no meus sistemas. Cá entre nós, não é custoso em termos de tempo usar comando sudo. Mas cada um é cada um.
tem algum curso que ensine tudo isso?, tem recomendação de algum?
Você encontra alguns sim na internet, o nosso projeto é de consultoria de pentest mas estamos vendo a possibilidade de abrir curso
Ué, mas o NSE do nmap já tinha detectado, tanto que apareceu lá no proprio output kkk
o que eu me lembro o -sS é pra enviar apenas pacote Syn não tenho certeza
Exatamente, ele não completa o 3way-handshake, o que faz bem menos 'barulho' na rede.
Não sei se expliquei bem no vídeo, tento explicar o mais simples possível pra quem ta começando, mas vou tentar complementar rs.
-sS no Nmap, ele faz uma varredura chamada "TCP SYN scan". Isso envolve enviar um tipo especial de mensagem para verificar se as portas de um computador estão abertas ou fechadas. Se uma porta está aberta, o alvo responde de uma maneira específica. Se a porta está fechada, a resposta é diferente. Essa técnica é usada porque é mais discreta, tornando mais difícil para os sistemas de segurança detectarem a varredura. Uma forma mais "barulhenta" de varredura seria usando a opção -sT no Nmap. Isso faz uma varredura de conexão completa, onde o Nmap tenta estabelecer uma conexão TCP completa com cada porta que está sendo verificada. Isso pode ser mais facilmente detectado pelos sistemas de segurança, pois completa a conexão TCP, deixando um rastro mais visível.
tlgd @@PentestEstrategico
@@PentestEstrategiconem a flag-Pn você soube explicar no vídeo, assume logo que foi o chatgpt que indicou o comando
O cara diz conhecimento kkkkk😂
Eu tô aqui mn
Usarei para o conhecimento
sei... rs existe muitas funções a mais em breve novo video com funções diferentes, espero que tenha gostado
30:54 Por que você tentou rodar um script de força bruta no banco de dados se não tinha nenhum banco de dados exposto? Não faz sentido
Foi pra mostrar que existe a opção de testar o banco de dados , assim como tem a opção --script malware o nmap da pra fazer muitas coisas não dá pra falar em uma aula
se ao invés deu colocar o link do site, eu usar esses mesmos comandos mais utilizando o ip do servidor no final do comando (onde ficaria o link), o escaneamento da certo também ou iria dar erro ?
O nmap reconhece tanto o host quanto o IP
@@PentestEstrategico Muito obg, ótimo vídeo por sinal
vc ja usou o blackArch Linux ?
Na verdade usei o Kali Linux mas também uso o parrot
Eu comecei com o backtrack2 depois pulei pro Kali Linux gostei e fiquei desde então, mas o parrot tem ganhado minha simpatia, na verdade o blackArch nunca testei
Tem como achar uma falha pra fazer modificações em dados do site ?
Sim tudo é possível, da pra mudar até a página inicial do site, técnica chamada de deface. Cada site existe a possibilidade de falhas diferentes
@@PentestEstrategico mais no caso de dados específicos só seria possível se modificar o banco de dados certo? Como exemplo dados de uma pessoa
@@playgo4352 o site teria que ter falha de SQL ou PHP injection se fosse o caso com uma Shell era só acessar o banco de dados e mudar os dados no banco de dados, seja usuário, email, senha etc.. qualquer coisa. Apartir do momento que um hacker consegue acesso ele pode fazer qualquer coisa, criar, excluir ou modificar
@@PentestEstrategico show, valeu
Até entrar no site de organizadora de concurso público e alterar os aprovados desse concurso ? Colocando o nome de um candidato que não foi aprovado, por exemplo ???
parceiro, eu to com duvida aqui, a porta 80, não me parece uma falha, ela tem que estar aberta.
não? Abraços
Existem várias portas a 80 é padrão pra conexão com a Internet, qualquer porta só em estar aberta não quer dizer que é uma falha e que vai conseguir acessar por ela. É sempre bom passar um scanner e conferir quais serviços rodam em qual porta é se alguma é desconhecida
@@PentestEstrategico era isso mesmo que pensei, abraços.
qual nivel dessa falha ? 'e leve ne ??
não assisti o video completo fiquei com preguiça mas até onde vi ele só citou de um ataque (DOS) que não é muito "perigoso" mas sim muito chato, basicamente o site iria ficar lento pra caramba ou até mesmo ficar inativo, mas os desenvolvedores iriam ver isso e consertar logo
Depende do que vc considera leve, a interrupção do serviço que o site dispõe, qual prejuízo ele terá em ficar off-line mesmo que temporariamente ? Tem q pensar nisso pra considerar se uma falha é grave ou não.
Slowloris é vulnerabilidade no apache, pode rodar aí vc sozinho o DOS, que cai em 2min kkkk
O amigo, onde você aprendeu sobre essas coisas? Quero começar na area mas fico perdido…
@@Gabriel-kz2ws começa com os fundamentos de redes, aprende um pouco de backend em linguagens diferentes, arquitetura linux pra nao ficar perdido na linha de comando, resumindo: Antes de aprender usar ferramentas qualquer uma que seja, veja como as coisas funcionam, aprenda desenvolver o básico, vc vai ter um bom background
@@Gabriel-kz2wsProcure sobre os cursos da CompTia, TryHackMe, HackTheBox, Google, etc
Bem explicado @tux1337py aprender uma linguagem de programação ajuda mas não é tudo.
Começa instalando o Kali Linux em um máquina virtual, começa a futucar as ferramentas que já vem por padrão, curso vc pode aprender fazendo uma certificação CEH (inglês e teórica ) OSCP ( inglês e prática ) oi DCPT ( português e prática) , eu não dou curso, pois sou apenas um consultor de pentest, mas estou começando a pensar , não imaginava que as pessoas iriam se interessar tanto pelo assunto.
Vdd a curiosidade e a prática superam o talento com certeza, negócio é futricar mesmo até entrar na cabeça, pode ir fundo nos ensinamentos, ensina a galera se incluir melhor no meio corporativo com oportunidades promissoras, no meio underground da Internet tem muito "moleque" talentoso que gostaria de ter chances de prestar serviços assim
puts, udp com status open é pedir DDOS, pórem espero que pelo menos tenha uma cabeça la no gov que tenha botado um fail2ban,firewall ou coisa do tipo, kkkk
Cara, testar nmap em sites que você nao teve autorização pra usar é basicamente crime, há milhares de sites com vulnerabilidades, falar com o adm é basicamente dizer que vc cometeu um crime e geralmente não resolvem o problema, cuidado ai
kkkkkkkkkkkkkkk@Dosiasz
Chato pra krai
Tá bom criançada, hora da papinha
Bem vindo meu camarada e obrigado pela preocupação. A Lei 12.965 conhecida como marco da internet e a Lei 12.737 sobre crimes virtuais não diz nada sobre scanear o site em busca de falhas porém se fosse o caso de praticar os verbos ( invadir, dados, alterar ou destruir,instalar vulnerabilidades,vender programa que exploram vulnerabilidades,) vale apena a leitura dessas leis 😊. Mas resumindo a não ser que eu esteja errado o crime se inicia no momento que vc invade um dispositivo explorando uma falha, no caso eu apenas informei a falha e não como explorar o slowloris isso é fácil aprender na internet
Ninguém tá nem aí com isso, eu já ferrei sites, já roubei emails e invadi contas, tô dboa até agora e olha que eu só tenho 13 anos
Muito bom!
mano, isso é crime mesmo que seja com boas intenções, vc teria que perdir permissao do site antes de realizar esses testes
1:58
@@Liza-1033 ele fez o teste e mandou depois pro administrador, ele deveria ter pedido permissao para realizar o teste antes, ele cometeu um crime e pode responder legalmente se o dono do site for um otario.
@@Liza-1033 enviar email não o autoriza. no Brasil também é considerado crime realizar varreduras de rede em sites do governo sem autorização prévia. O Código Penal Brasileiro, em seu artigo 154-A, estabelece que invadir dispositivo informático alheio, conectado ou não à rede de computadores, mediante violação indevida de mecanismo de segurança e com o fim de obter, adulterar ou destruir dados ou informações sem autorização expressa ou tácita do titular do dispositivo ou instalar vulnerabilidades para obter vantagem ilícita é crime, com pena de detenção de três meses a um ano, e multa. Este tipo de conduta se enquadra nessa categoria, portanto, é ilegal no Brasil.
eu sou mais do red team meu canal aborda
32:05 chat LGBT kkkkkk
Kkkkkkkkkk
Puts legenda automática é complicado kkk passou desapercebido na revisão, obrigado pelo feedback 😅
Daora irmão 👏👏
acho engraçado videos desta geracao scriptkid sashahsahshhsahshas
KKKK temos aqui ô hackermen "ComendadorNeves" o pica do pentest.
Zero day
BOM BOM
dois erros, testar segurança sem autorização e ainda divulgar todas as falhas que encontrou
Ele notificou e está ensinando de maneira ética !
@@Babayaga0800 se o sistema nao tem um vdp ou um programa de bug bounty, nao se testa a segurança, se o adm quiser pode incriminar ele por fazer testes sem a devida autorizaçao mesmo que ele tenha avisado sobre as falhas. outro ponto, em vdp e programas de bug bounty voce so pode divulgar as falhas que voce achou depois que a empresa corrigiu todos, alguem pode ver o video e usar essas informaçoes sobre as falhas no sistema para fazer o mal
@@RamonSantana-fd3ux concordo
O crime se inicia no momento da exploração da vulnerabilidade.
@@PentestEstrategico o adm do sistema pode nao gostar de ter alguem procurando falhas no seu sistema, pode dar ruim mesmo com boas intenções, outra coisa mesmo que nao haja crime em procurar as falhas e reportar ao adm, acho que divulgar elas antes de serem corrigidas nao é muito legal, procure VDPs sao boas opçoes para aprender e praticar hacking sem correr o risco de alguem nao gostar e dar ruim, so seguir as regras
cara faz um "hack" e acha que colocar no youtube ta tudo certo... avisar adm? ahahahahahahahahahah
pois eh