Web Hacking

SQL Injection é uma das vulnerabilidades mais críticas e prevalentes da web, presente no OWASP Top 10 há mais de uma década. Permite manipular queries SQL para exfiltrar dados, bypassar autenticação, escrever arquivos e até executar comandos no sistema operacional. Este guia cobre desde os fundamentos até técnicas avançadas de exploração e bypass de WAF.

XSS permite injetar JavaScript malicioso em páginas web visualizadas por outros usuários. Vai desde roubo de cookies e sessões até controle completo do navegador da vítima, keylogging, phishing e movimentação lateral em redes internas via BeEF.

CSRF força um usuário autenticado a executar ações não intencionais em uma aplicação web. O atacante não vê a resposta, mas a ação é executada com os privilégios da vítima — transferências bancárias, mudanças de senha, adição de admins.

IDOR é a vulnerabilidade de controle de acesso mais comum e mais recompensada em bug bounties. Ocorre quando uma aplicação usa referências diretas a objetos internos (IDs, nomes de arquivo, hashes) sem verificar se o usuário tem permissão para acessá-los.

SSRF força o servidor a fazer requisições para destinos controlados pelo atacante — internos ou externos. Em ambientes cloud, SSRF frequentemente leva ao comprometimento total da conta AWS/GCP/Azure via roubo de credenciais do metadata endpoint.