Portfólio Técnico de Segurança da Informação - Projetos práticos, laboratórios documentados e experiências em Ethical Hacking, Pentest e Segurança Ofensiva.
Profissional em desenvolvimento na área de Segurança da Informação, com foco em Pentest Web e API, Cloud Security e fundamentos de Blue Team. Este repositório documenta minha jornada através de laboratórios práticos, projetos reais e estudos aprofundados em vulnerabilidades e técnicas de exploração ética.
- 🔴 Offensive Security: Pentest Web, API Testing, Network Penetration
- ☁️ Cloud Security: AWS, Azure Security Assessments
- 🌐 Web Application Security: OWASP Top 10, SQL Injection, XSS, CSRF
- 🔍 Vulnerability Assessment: Análise de vulnerabilidades, exploração controlada
- 📝 Technical Documentation: Relatórios profissionais, write-ups técnicos
security-experience/
│
├── labs/ # Laboratórios práticos documentados
│ ├── medusa-smb-attack/ # Ataque de força bruta SMB com Medusa
│ ├── web-vulnerabilities/ # Exploração de vulnerabilidades web
│ ├── api-security/ # Testes de segurança em APIs
│ └── cloud-security/ # Segurança em ambientes cloud
│
├── tools/ # Ferramentas e scripts personalizados
│ ├── scanners/ # Scripts de scanning e reconhecimento
│ ├── exploits/ # PoCs de exploits para fins educacionais
│ └── automation/ # Automação de tarefas de pentest
│
├── writeups/ # Write-ups detalhados de CTFs e labs
│ ├── hackthebox/ # Máquinas do HackTheBox
│ ├── tryhackme/ # Salas do TryHackMe
│ └── vulnhub/ # VMs do VulnHub
│
├── resources/ # Recursos e referências
│ ├── checklists/ # Checklists de pentest
│ ├── templates/ # Templates de relatórios
│ └── notes/ # Anotações de estudo
│
└── README.md # Este arquivo
Status: ✅ Concluído | Categoria: Network Security | Dificuldade: Iniciante
Demonstração de ataque de força bruta paralelo contra serviços SMB utilizando Medusa em ambiente Metasploitable 2.
Técnicas Aplicadas:
- Força bruta paralela com wordlists customizadas
- Validação de credenciais via protocolo SMB
- Exploração de credenciais padrão/fracas
Ferramentas:
- Medusa (brute force)
- smbclient (validação SMB)
- Kali Linux + Metasploitable 2
Aprendizados:
- Importância de políticas de senha forte
- Configuração de bloqueio de conta
- Monitoramento de tentativas de login
Status: 🔄 Em Progresso | Categoria: Web Security | Dificuldade: Intermediário
Exploração sistemática das vulnerabilidades do OWASP Top 10 em aplicações web reais.
Vulnerabilidades Cobertas:
- SQL Injection (SQLi)
- Cross-Site Scripting (XSS)
- Cross-Site Request Forgery (CSRF)
- Insecure Direct Object References (IDOR)
- Security Misconfiguration
Status: 📋 Planejado | Categoria: API Security | Dificuldade: Intermediário
Testes de segurança em APIs REST/GraphQL com foco em autenticação, autorização e validação de dados.
| Categoria | Labs Concluídos | Em Desenvolvimento | Planejados |
|---|---|---|---|
| Network Security | 1 | 0 | 2 |
| Web Security | 0 | 1 | 3 |
| API Security | 0 | 0 | 2 |
| Cloud Security | 0 | 0 | 2 |
| Total | 1 | 1 | 9 |
Este portfólio segue as melhores práticas e metodologias reconhecidas pela indústria:
- OWASP Top 10: Framework para segurança de aplicações web
- OWASP API Security Top 10: Vulnerabilidades específicas de APIs
- MITRE ATT&CK: Táticas, técnicas e procedimentos (TTPs) de adversários
- PTES: Penetration Testing Execution Standard
- Structured Reports: Relatórios técnicos profissionais
- Executive Summaries: Resumos executivos para stakeholders
- Technical Write-ups: Documentação detalhada para auditores técnicos
- Reconnaissance: Nmap, Masscan, Amass, Subfinder
- Web Application: Burp Suite, OWASP ZAP, Nikto
- Exploitation: Metasploit, SQLMap, XSStrike
- Brute Force: Hydra, Medusa, John the Ripper
- Cloud Security: ScoutSuite, Prowler, CloudMapper
- DCPT (Desec Certified Penetration Tester)
- CompTIA Security+
- CSIRT (CSIRT - Hackers do Bem)
- OSCP (Offensive Security Certified Professional)
- CEH (Certified Ethical Hacker)
- TryHackMe: Offensive Pentesting Path
- HackTheBox: Active machines
- PortSwigger Web Security Academy: Web vulnerabilities
- PentesterLab: Web penetration testing
IMPORTANTE: Uso Exclusivamente Educacional
Todo o conteúdo deste repositório é disponibilizado para fins educacionais e de pesquisa em segurança da informação.
- Todos os laboratórios são executados em ambientes controlados (VMs, laboratórios pessoais)
- Nunca realizo testes em sistemas de produção sem autorização explícita por escrito
- Sigo o código de ética de hacking ético e responsible disclosure
- Respeito todas as leis locais e internacionais sobre segurança cibernética
- Nunca utilize estas técnicas em sistemas que você não possui ou não tem autorização
- O uso não autorizado é ILEGAL e passível de punição criminal
- Não me responsabilizo por uso indevido deste material
- Computer Fraud and Abuse Act (CFAA) - EUA
- Marco Civil da Internet (Lei 12.965/2014) - Brasil
- Lei Geral de Proteção de Dados (LGPD) - Brasil
- Council of Europe Convention on Cybercrime
Sinta-se livre para contribuir com:
- Sugestões de melhorias nos laboratórios
- Correções de bugs nos scripts
- Novas ideias de projetos
- Feedback sobre documentação
- LinkedIn: Pedro Luiz Costa
- GitHub: @3S00mc
- Email: ptrcosta@proton.me
- OWASP Testing Guide
- PTES Technical Guidelines
- MITRE ATT&CK Framework
- PortSwigger Web Security Academy
- IppSec - HackTheBox Walkthroughs
- LiveOverflow - Security Research
- John Hammond - CTF & Malware Analysis
- NetworkChuck - Networking & Security
- "The Web Application Hacker's Handbook" - Dafydd Stuttard, Marcus Pinto
- "Metasploit: The Penetration Tester's Guide" - David Kennedy et al.
- "Black Hat Python" - Justin Seitz
- "Hacking: The Art of Exploitation" - Jon Erickson
- Setup inicial do repositório
- Lab: Medusa SMB Brute Force Attack
- Lab: SQL Injection (DVWA/bWAPP)
- Lab: XSS Attacks (Reflected, Stored, DOM)
- Lab: CSRF Exploitation
- Lab: File Upload Vulnerabilities
- Lab: IDOR & Broken Access Control
- Certificação: eJPT
- Lab: API Security Testing (REST/GraphQL)
- Lab: AWS Cloud Security Assessment
- Lab: Active Directory Enumeration
- 10 máquinas HackTheBox completas
- Lab: Buffer Overflow (Windows/Linux)
- Lab: Privilege Escalation Techniques
- Preparação OSCP
- Certificação: OSCP (objetivo)
Medusa SMB Brute Force Attack - Demonstração completa de ataque de força bruta paralelo contra serviços SMB com scripts automatizados, wordlists customizadas e documentação profissional.
security hacking owasp cybersecurity pentest ethical-hacking webhacking pentesting-tools whitehacking offensive-security vulnerability-research infosec kali-linux metasploit bug-bounty
⚔️ Hack The Planet | 🛡️ Protect The Systems | 🎓 Learn Ethically
"Security is not a product, but a process." - Bruce Schneier
📅 Última Atualização: Fevereiro 2026
🔄 Status do Portfólio: Ativamente Mantido
⭐ Se este repositório foi útil, considere dar uma estrela!
Made with 💙 for the Cybersecurity Community