Unveiling Hidden AWS Keys In My First Android Pentest 文章描述了一次通过逆向工程分析Android应用的经历,揭示了隐藏在应用中的关键访问密钥,并从中学习到现代移动应用架构的重要差异。... 2025-10-17 09:50:19 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com baksmaling apktool apki testapp security

How I Became an Accidental Admin and Almost Got Fired (From Someone Else’s Company) 一位安全测试人员在测试HR平台PeopleFlow时发现漏洞,意外获得了公司薪资、社保号码等敏感信息,揭示了企业系统潜在的安全风险。... 2025-10-17 09:49:20 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com soggy usual peopleflow poked towels

How I Became an Accidental Admin and Almost Got Fired (From Someone Else’s Company) 文章描述了作者在测试HR平台PeopleFlow时发现权限漏洞的经历。原本只是一个普通用户账号的他，在进行常规安全测试后意外获得了公司的敏感信息和管理权限。... 2025-10-17 09:49:20 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com peopleflow soggy usual poked yeah

️ Spring Boot API Security Like a Pro: Rate Limiting, Replay Protection & Signature Validation… 本文介绍如何通过限流、防重放攻击和HMAC签名验证等技术保护Spring Boot API安全，并提供生产级代码示例和过滤器配置。... 2025-10-17 09:47:51 | 阅读: 10 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com limiting replay security grade bypasses

25. Monetizing Your Skills Beyond Bug Bounty 作者Abhijeet Kumawat分享了从零开始学习漏洞赏金的经验，并计划通过25篇文章深入探讨如何在道德黑客领域取得成功。他强调将技术转化为职业发展的关键在于持续提升和应用技能。... 2025-10-17 09:47:44 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com scratch bounties expertise stories career

25. Monetizing Your Skills Beyond Bug Bounty 文章讲述了如何将漏洞赏金猎手的技能转化为职业发展的路径，并分享了作者从零开始学习网络安全的经验与心得。... 2025-10-17 09:47:44 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com scratch bounties stories geminihey craft

The Art of Breaking OAuth: Real-World Exploit and Misuses OAuth 2.0作为现代数字身份验证标准，广泛应用于登录流程中。然而，其配置错误和漏洞使其成为攻击目标。常见攻击包括重定向URI操控、流氓应用欺骗用户授权、授权码泄露及会话固定等，可能导致账户接管或绕过多重认证。文章分析了这些攻击手法及其影响，并提供了防御建议如严格验证重定向URI、加强应用治理和提升用户意识等。... 2025-10-17 09:44:58 | 阅读: 32 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com attackers microsoft flows phishing rogue

Mastering Host Header Injection: Techniques, Payloads and Real-World Scenarios 文章探讨了攻击者如何通过篡改HTTP请求中的Host头来操控Web应用，并可能导致缓存中毒、密码重置欺骗甚至账户接管等风险。同时介绍了常见的Host头注入技术及其防御方法。... 2025-10-16 13:39:36 | 阅读: 32 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com attackers poisoning injection attacker

Mastering Host Header Injection: Techniques, Payloads and Real-World Scenarios 文章探讨了攻击者如何通过操纵HTTP请求中的Host头来利用Web应用漏洞进行攻击，并介绍了常见的Host头注入技术及其潜在危害。... 2025-10-16 13:39:36 | 阅读: 31 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com attackers poisoning attacker injection

The Ultimate Guide to 403 Forbidden Bypass (2025 Edition) 文章探讨了403 Forbidden错误的工作原理及其常见原因，并分享了实际案例和工具技巧来绕过此类限制，帮助访问受保护资源。... 2025-10-16 13:39:31 | 阅读: 35 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com 403 forbidden bypass encounter panels

The Ultimate Guide to 403 Forbidden Bypass (2025 Edition) 文章介绍了如何绕过403 Forbidden错误，并提供了实际案例、工具和技巧。403错误通常由IP地址限制、配置错误或访问控制问题引起。通过分析常见原因和实用方法，帮助读者在漏洞挖掘过程中访问受限资源。... 2025-10-16 13:39:31 | 阅读: 31 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com 403 forbidden bypass club errorsthere

How to Identify Sensitive Data in JavaScript Files: (JS-Recon) 文章介绍了一种通过手动检查和工具辅助从JavaScript文件中发现敏感数据的方法，包括API密钥、密码等，并指导如何识别和报告潜在安全风险。... 2025-10-16 13:39:25 | 阅读: 31 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com uncovering filespress sizemanual inspection websitelook

FFUF Mastery: The Ultimate Web Fuzzing Guide 介绍FFUF工具用于Web应用安全测试的方法，包括安装、基本命令及如何通过模糊测试发现隐藏资源。... 2025-10-16 13:39:20 | 阅读: 34 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com ffuf download github repository

FFUF Mastery: The Ultimate Web Fuzzing Guide 文章介绍了开源模糊测试工具FFUF的安装与使用方法，包括发现隐藏文件、目录、子域和参数的基本命令及参数设置。... 2025-10-16 13:39:20 | 阅读: 33 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com ffuf github repository security

24. Common Reasons Bugs Get Rejected (And How to Avoid That) Abhijeet Kumawat, a cybersecurity enthusiast and bug bounty hunter, shares insights in his series "Bug Bounty from Scratch" about overcoming challenges in ethical hacking. He emphasizes the importance of clear communication in making findings stand out and succeeding in the field.... 2025-10-16 05:57:43 | 阅读: 47 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com scratch fourth abhijeet ethical enthusiast

24. Common Reasons Bugs Get Rejected (And How to Avoid That) Abhijeet Kumawat分享作为漏洞赏金猎人的经验，强调清晰表达的重要性。他通过"从零开始的漏洞赏金"系列深入探讨如何在网络安全领域取得成功。... 2025-10-16 05:57:43 | 阅读: 44 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com scratch noise passionate kumawat crawling

The Nutanix Fable: From nothing to Domain Admin 一位安全审计员利用Nutanix的默认密码成功入侵企业虚拟基础设施，并通过克隆域控制器虚拟机、提取敏感数据和获取域管理员权限的过程，揭示了默认密码配置的巨大安全隐患。... 2025-10-16 05:57:37 | 阅读: 42 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com nutanix beer ntds 180gb acli

How I Mastered Blind SQL Injection With One Simple Method 作者在测试一个web应用时遇到登录表单无反馈的问题。通过改变思路，不再试图强行入侵而是“倾听沉默”，成功与静默的数据库通信。关键在于触发条件错误，在完全安静中获取反馈。... 2025-10-16 05:53:0 | 阅读: 49 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com knock silence database felt knew

ProtoVault Breach Forensics Challenge Offsec CTF Week 1 ProtoVault Breach 是 Offsec CTF 的取证挑战，要求分析日志和数据库连接字符串以发现漏洞。作者通过系统方法快速完成，并分享步骤和技巧。... 2025-10-16 05:47:32 | 阅读: 48 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com artifacts offsec interpret originated

Internal Password Spraying from Linux: Attacking Active Directory 好的，我现在需要帮用户总结一篇关于密码喷射的文章，控制在100字以内。首先，我得仔细阅读用户提供的文章内容，理解其主要观点。 文章主要讨论了密码喷射技术在内部Active Directory评估中的有效性。与暴力破解不同，密码喷射使用少量密码尝试多个账户，减少了账户锁定的风险，同时保持低噪音。文中提到从Linux攻击主机使用工具如CrackMapExec等进行攻击，并讨论了方法、工具、规避策略和后续枚举。 接下来，我需要将这些要点浓缩成一句话。要确保涵盖技术名称、应用场景、优势以及使用的工具和策略。同时，语言要简洁明了，避免冗长。 可能的结构是：介绍技术及其优势，然后说明使用的工具和策略。例如：“密码喷射是一种有效的低噪音技术，在内部Active Directory评估中使用少量密码尝试多个账户，避免账户锁定。通过Linux工具如CrackMapExec等实施，并结合规避策略和后续枚举。” 检查字数是否在100字以内，并确保信息准确全面。 </think> 密码喷射是一种有效的低噪音技术，在内部Active Directory评估中使用少量密码尝试多个账户以获取凭证。该方法通过Linux工具如CrackMapExec等实施，并结合规避策略和后续枚举以提高成功率。... 2025-10-16 05:46:28 | 阅读: 44 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com spraying machine kerbrute streamlined