Update README with new instructions and usage options

allgood · allgood · commit e36e94d20acb · 2025-04-07T22:57:25.000-03:00
- Clarified motivation with updated timeline
- Added section for pre-compiled package execution
- Linked to releases page for executable download
- Expanded usage options with detailed descriptions
- Improved backend and frontend configuration details
- Highlighted optional login and SSL settings
diff --git a/README.md b/README.md
@@ -6,7 +6,7 @@
 
 ## Motivação
 
-Nas últimas semanas detectei o que julguei serem falhas
+Em Fevereiro de 2024 detectei o que julguei serem falhas
 gravíssimas no sistema Whaticket e seus derivados.
 
 O autor do projeto original deixa claro que ele não teve
@@ -48,6 +48,12 @@ que é o padrão para o usuário administrador.
 
 ## Instruções
 
+### Executando o pacote pré compilado
+
+[Acessando a página de releases](https://github.com/allgood/WhaticketExploit/releases) Você pode baixar o arquivo executável e rodar direto no Windows.
+
+### Executando a partir do código fonte
+
 Você vai precisar do [nodejs](https://nodejs.org/) instalado em seu computador.
 
 Tendo ele instalado, abra um terminal e navegue até a pasta em que
@@ -64,10 +70,14 @@ Depois você pode executar ele:
 npm start
 ```
 
-Ele vai solicitar a URL do backend. Ela precisa iniciar com `wss://`
-ou `ws://`, depois de clicar em "Analize" ele vai conectar ao
-websocket do servidor e iniciar a analisar. Se o servidor estiver
-vulnerável você verá as mensagens sendo trafegadas em tempo real.
+### Opções de uso
+
+O Whaticket-Exploit fornece algumas opções na primeira tela:
+
+* **backend_hostname**: Esse é obrigatório, vai indicar onde está rodando o serviço de websocket, normalmente sem porta, mas se tiver necessidade pode ser colocada no formato hostname:port
+* **frontend_hostname**: (opcional) O backend de alguns sistemas exigem a URL do frontend como origem, isso não adiciona segurança pois é facilmente forjável. Preenchendo esse campo o cabeçalho de origem será preenchido de acordo
+* **login** e **password**: (opcional) É possível fornecer um login e senha para observar vazamento de dados de outras empresas e usuários. **ATENÇÃO:** Nesse modo as mensagens direcionadas ao login fornecido também serão exibidas, o que não configura exatamente um vazamento... só é mesmo vazamento se mensagens que o usuário fornecido não devesse ter acesso aparecerem.
+* **enable ssl**: Geralmente marcado, indica que deve utilizar https para acessar o backend.
 
 
 ## Foi útil?
