Offensive Security · Campina Grande, PB

Jimmy Santos

@ak1ra

Profissional de segurança ofensiva focado em pentest web, análise de vulnerabilidades e red team. Curioso, ético e comprometido em ir além da superfície.

Ver projetos Download CV

01 · About

Curiosidade ofensiva. Ética sem negociação.

Caí na segurança porque gosto de entender como as coisas funcionam por dentro. Usar não basta; quero saber onde quebra e por quê.

Foco hoje é pentest web e análise de vulnerabilidades. Estudo bastante, monto meus próprios labs, e tento aplicar o que aprendo em projetos reais. Sem firula: ético, curioso, e disposto a apanhar até entender.

Fora disso: café forte, música alta, e a vó achando que sou hacker do filme.

Web App Pentesting

OWASP Top 10, lógica de negócio, auth bypass, IDORs.

Network Security

Recon ativo/passivo, pivoting, hardening de superfície.

Social Engineering

Phishing dirigido, OSINT humano, pretexting controlado.

Malware Dev (lab)

Loaders, evasão básica, análise estática/dinâmica.

projetos

certificações

anos de estudo

ak1ra@blackbox:~ · zsh · 80×24

02 · Credentials

Certificações

Formação contínua em pentest, desenvolvimento e cloud security.

Solyd Certified Pentester

Solyd · SYCP

2025 · cred ID #SYCP-***

Full Stack Web Development

Trybe · Full-Stack

2024 · trilha C#

Cybersecurity

Cisco NetAcad

2024 · introdução + intermediário

Cloud Security

Google Cloud Academy

2025 · fundamentos de cloud

03 · Builds

Projetos

Ferramentas, labs e provas-de-conceito construídos no caminho.

Mini SIEM Dashboard

Dashboard de eventos de segurança em tempo real com agregação, filtros por severidade e busca por IOC.

Python Flask JavaScript

OWASP Top 10 Vulnerable Lab

Ambiente local com 10 aplicações vulneráveis para prática controlada das principais falhas OWASP.

Docker PHP Web Security

Pentest Report Templates

Coleção de templates profissionais para entrega de relatórios técnicos e executive summaries.

Markdown LaTeX Documentação

Security Headers Checker

CLI que audita os headers HTTP de segurança de um alvo e gera score com recomendações priorizadas.

Python CLI Web

Recon Toolkit Básico

Conjunto de scripts para reconhecimento passivo e ativo: subdomínios, ASN, fingerprinting, port discovery.

Python OSINT Shell

+ Em construção

Novo projeto sendo arquitetado: framework de pentest assistido com automação de relatório. Em breve.

WIP Python

04 · Reports

Relatórios fictícios

Cenários simulados em ambiente controlado, usados como portfólio técnico. Todos os dados e alvos são fictícios.

RPT-2025/01 · Web Pentest Jan 2025

AlphaStore E-commerce

// Escopo: 1 app web, 14 endpoints

// Metodologia: PTES + OWASP WSTG

// Duração: 6 dias úteis

● 2 críticas ● 4 altas ● 6 médias ● 3 baixas

A avaliação identificou duas vulnerabilidades críticas: SQL Injection em endpoint de busca pública e quebra de autenticação no fluxo de recuperação de senha, permitindo takeover de contas administrativas. As falhas altas envolvem IDOR no carrinho compartilhado e XSS armazenado no painel de reviews. Recomenda-se reescrita das queries com prepared statements, rotação de tokens de reset, política de CSP estrita e auditoria de roles. Risco residual estimado: alto antes da remediação, baixo após plano proposto.

RPT-2025/02 · OSINT Mar 2025

Reconhecimento OSINT · CorpTech Ltd

// Tipo: OSINT passivo

// Superfície mapeada externamente

// 12 ativos descobertos

● 3 expostos ● 5 atenção ● 4 informativos

Mapeamento da superfície externa revelou 12 ativos ligados à organização, incluindo 3 subdomínios esquecidos rodando versões desatualizadas de CMS e um bucket de armazenamento com listagem habilitada. Vazamentos em pastebins indicam credenciais reutilizadas de 2 colaboradores. Recomenda-se decomissionar legados, ativar takedown de credenciais expostas e implantar monitoramento contínuo de assets para reduzir a janela de exposição.

RPT-2025/03 · Phishing Abr 2025

Simulação de Phishing · Interna

// Vetores testados: 3

// Universo: 220 colaboradores

// Taxa de clique: 34%

● 12% credenciais ● 34% clique ● 8% anexo

Campanha controlada com três vetores: spoof de RH, fatura falsa e alerta de segurança. A taxa global de clique foi de 34%, com 12% submetendo credenciais e 8% executando anexo simulado. O time financeiro apresentou o pior desempenho, enquanto engenharia teve a melhor postura. Plano sugerido inclui trilha de awareness por persona, hardening de gateway de e-mail e simulações trimestrais com KPIs por área.

05 · Training

Labs & plataformas

Onde eu treino a mira. Progresso atualizado conforme avanço nos caminhos.

TryHackMe

Path: Pentester (em andamento)rank · iron

HackTheBox

Trilha: Bug Bounty Hunterboxes · 14

Solyd (SYCP)

Status: ✓ Concluído2025

Cisco NetAcad

Status: ✓ Concluído2024

Google Cloud Academy

Status: ✓ Concluído2025

CTF · picoCTF / overthewire

Foco: web, crypto, forensicscontínuo

06 · Reach

Vamos conversar.

Disponível para projetos de pentest, consultoria pontual ou colaborações em pesquisa.