Fala pessoal! Foi eu quem rodei esse scan, depois de ver o post do @lengo (https://www.tabnews.com.br/lengo/falhas-de-seguranca-no-tabnews) falando sobre as vulnerabilidades encontradas com a ferramenta Acunetix. Vi também que o pessoal se interessou, inclusive o Filipe.
Trabalho com segurança e de forma alguma quis "mascarar" o meu IP, sobrecarregar o servidor, ou lesar a comunidade de alguma forma. Esse scan é bem comum e bastante utilizado e de certa forma causa muito "barulho" mesmo e acaba pegando muitas falhas simples e muito misconfiguration. No caso, não foi encontrado nada de relevante e se houvesse, eu teria entrado em contato com a equipe do Tabnews antes de qualquer post ou algo do tipo (talvez um Post Mortem?).
Bom, a intenção era de fato encontrar falhas e comunicar para correção, para o bem da comunidade e o aumento da maturidade da aplicação.
Para quem tiver curiosidade a ferramenta utilizada chama-se Nuclei e é baseada em listas de templates de falhas de segurança constantemente atualizadas pela comunidade. O projeto é bem bacana!
Link do projeto no Github: https://github.com/projectdiscovery/nuclei
quintanilha sensacional meu caro, muito obrigado por esse teste e também vir reportar aqui! Não se preocupe, pois nada foi lesado e logo imaginei que foi alguém que se sentiu motivado pelos últimos posts que fiz sobre segurança da informação, esse era o objetivo mesmo. Quanto mais convidativo for o TabNews para pessoas que trabalham na área de segurança, mais seguros todos estaremos.
E sobre o Post Mortem, como escrevi na publicação original, sou super a favor e nada dos bastidores do TabNews será escondido... isso aqui é um projeto que todo mundo da comunidade deveria "viver juntos" e por isso entenda viver tudo que um projeto em produção pode proporcionar, sejam coisas boas ou ruins, tudo é valioso 👍
E também eu estava louco para saber o nome desse software. Muito obrigado por trazer aqui 🤝
Qualquer outro teste que rodar, sugiro até criar uma publicação avisando antes do que vai acontecer, o que vai ser testado, e depois publicar os resultados, e daí posso compartilhar também o que apareceu aqui do meu lado. O que acha?
PS: Editei a publicação para esconder a localidade agora que você se identificou.