|

Chi Sono

Studio attivamente il Penetration Testing da gennaio 2025. Sono convinto che la miglior difesa sia l’attacco. Simulo attacchi, analizzo vulnerabilità reali e progetto strumenti per migliorare la sicurezza aziendale. Ogni giorno imparo, anche leggendo report di attacchi recenti prima di dormire.

Competenze Tecniche

• Recon: Subfinder, Amass, Gobuster, Dirsearch, DNSrecon, Nmap, theHarvester...
• Exploiting: LFI, XSS, SQLi, Buffer Overflow con GDB
• Tool: Burp Suite, sqlmap, Hydra, FFUF, Nikto, Metasploit, nuclei
• Lingue: Python, Bash, SQL, C
• Esperienza con HackTheBox, CTF e bug bounty

Progetti

• Rate Limit Bypass – Script Python multi-threading
• DoS Payment System – Scoperta vulnerabilità e disclosure
• Pepsi – Esposizione di endpoint GraphQL considerati privati, segnalata al team di sicurezza
• CVE-2022-22720 – Analisi tecnica e Proof of Concept di vulnerabilità DoS su Apache 2.4.52, con documentazione condivisa.
• YesWeHack – Business Logic Errors: identificata una logica di acquisto che consentiva ordini con dati fittizi senza transazione reale; testato in ambiente controllato e documentato. Segnalazione inviata e validata
• Ferrari – Business Logic Flaw: anomalia nel flusso d’ordine che mostrava elementi non pagati tra gli “ordini recenti”
• Ferrari – Broken Access Control: possibilità di accedere a un programma riservato in condizioni controllate.

Nota

Per motivi di sicurezza, non pubblico dettagli tecnici sfruttabili delle vulnerabilità. Su richiesta in fase di colloquio, posso mostrare documenti non sensibili che dimostrano l’approccio seguito e la qualità della documentazione tecnica.

Contatti

Email: mikimegov@gmail.com

GitHub | LinkedIn