Pular para o conteúdo
>_ITDITDPlataforma de Segurança Web
Preparo cibernético, calma de centro de comando

Aprenda com incidentes reais. Defenda o seu próprio site.

Não como atacar — como defender, a partir de violações que realmente aconteceram. Defesa prática que você pode aplicar hoje, mesmo sem experiência em segurança.

Ver incidentesComeçar a defender
itd@defense:~ — site-health.shLIVE
$  
  • >.env exposure[ Defendido ]
  • >TLS / cert expiry[ Atenção ]
  • >Dependency CVEs[ Crítico ]
  • >Security headers[ Defendido ]
  • >Secret in repo[ Defendido ]
ONLINEFeed de ameaçasLIVE7 Incidentes e Vulnerabilidades26 Glossário29 Guias de SegurançaDEFENSE-ONLY — NO ATTACK STEPS
Destaque

Segurança para a era da IA

Uma IA capaz aumenta o custo do descuido. Reforce o básico agora — em ordem de prioridade.

Ler o destaque
01 — Sections

Por onde começar

Escolha um ponto de partida pelo seu objetivo. Tudo gratuito, sem cadastro.

Incidentes e Vulnerabilidades

Capital One, Equifax, Log4Shell, Heartbleed, XZ — violações e vulnerabilidades públicas detalhadas em causa, impacto, primeira resposta e prevenção, pelas lições que ainda valem.

$ Log4Shell, Heartbleed, Capital One, MOVEit e muito mais.

Glossário

CVE, CVSS, RCE, SSRF, XSS, SPF/DKIM/DMARC — cada termo com uma resposta em uma linha e uma explicação simples.

$ Para que o jargão nunca te pegue de surpresa.

Guias de Segurança

Senhas, MFA, dispositivos, Wi-Fi público, servidores, dependências, Git, ambientes expostos — guias práticos e orientados a objetivos sobre defesas que você pode aplicar hoje.

$ Guias práticos de defesa, por objetivo.

Ferramentas Gratuitas

Um conjunto gratuito de ferramentas para verificar dependências (OSV), CVEs, cabeçalhos de segurança, CSP, JWT e SPF/DKIM/DMARC. As ferramentas de diagnóstico também geram um prompt de correção para IA. As ferramentas client-side nunca enviam o que você digita.

$ As ferramentas client-side nunca enviam o que você digita.

02 — Field notes

Incidentes e vulnerabilidades notáveis

Capital One, Log4Shell, MOVEit e muito mais — violações e vulnerabilidades públicas, transformadas em como você se defende.

critical2026-06-12

Vazamento em massa do MOVEit (2023) — como um zero-day de SQL injection alcançou mais de 2.700 organizações, e como se defender

A entrada foi um zero-day de SQL injection (CVE-2023-34362) no MOVEit Transfer, exposto à internet. Um web shell (LEMURLOOT) foi plantado e dados foram roubados em massa do banco de dados de retaguarda, atingindo mais de 2.700 organizações e cerca de 93,3M de pessoas. A maioria das vítimas foi arrastada indiretamente porque um fornecedor usava o MOVEit. No seu ambiente: patch rápido de KEV, minimizar a exposição, menor privilégio e segmentação entre web↔DB, inventário de fornecedores e minimização de dados.

critical2026-06-07

Vazamento da Capital One (2019) — como um SSRF expôs mais de 100M de registros, e como se defender

Um único SSRF alcançou o endpoint de metadados → credenciais IAM temporárias com privilégios excessivos → cópia em massa do S3, vazando cerca de 106M de registros. Cada salto poderia tê-lo interrompido. No seu ambiente: IMDSv2, IAM de menor privilégio e uma allowlist para requisições de saída.

critical2026-06-07

Vazamento da Codecov (2021) — quando uma 'ferramenta confiável' no CI foi sequestrada e segredos vazaram

Uma ferramenta de CI confiável (o Bash Uploader curl|bash) foi alterada na origem. Como o seu próprio código permaneceu intocado, passou despercebido por cerca de 2 meses enquanto segredos de CI vazavam; uma verificação de checksum o pegou. No seu CI: verifique artefatos baixados, segredos de menor privilégio, rotação, monitoramento de egress.

03 — Our stance

O que este site defende

Um produto de segurança precisa manter a própria casa em ordem.

We don't hold secrets

We never store your real API keys — only metadata. The safest secret is the one we can't leak.

Scan only what you own

Diagnostics run on verified domains only. Internal IPs and metadata endpoints are blocked — SSRF defense is built in.

Minimal blast radius

Isolation so one breach can't cascade. This site itself runs on a dedicated, isolated host.

We test on ourselves

This site watches its own dependencies for CVEs. The incident that started this never gets missed by a human again.