“Day 25: The Cloud Heist — How a Forgotten Webhook Tester Gave Me the Keys to AWS” 一个基于AWS的SaaS公司因忽视子域名devtools.coolstartup.com上的内部工具而遭殃。该工具存在盲SSRF漏洞，导致云基础设施被攻破并支付了1000美元赏金。内部工具常因缺乏安全措施成为攻击目标。... 2025-9-13 08:0:48 | 阅读: 2 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com cloud ssrf subdomain fortress rigor

9. The Secret Power of Google Dorking Abhijeet Kumawat分享了Google Dorking技巧，强调其在揭示互联网隐藏信息中的作用，并作为漏洞赏金猎人系列文章的一部分。... 2025-9-13 08:0:48 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com dorking enthusiast fourth hunters

Subdomain Discovery and Enumeration: From Noise to Valuable Targets 文章探讨了子域名枚举的重要性及其方法，指出许多组织拥有大量子域名，其中可能隐藏敏感应用或管理面板。通过工具发现并筛选活跃子域名有助于安全测试和研究。... 2025-9-13 07:59:9 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com subdomain forgotten staging ummmm testers

Keys to the Kingdom: How I Hacked a Fortune 500 Company Through Their Mobile App 通过反向工程和逆向编译技术提取移动应用中的硬编码敏感信息（如AWS密钥和API秘密），成功获得数据库访问权限并赢得赏金的案例分析。... 2025-9-13 07:52:24 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com jacket hardcoded apk database crazy

Keys to the Kingdom: How I Hacked a Fortune 500 Company Through Their Mobile App 一位安全研究人员通过反编译某知名零售公司移动应用APK文件，意外发现其中硬编码的AWS凭证和API密钥，并成功获取数据库访问权限。该漏洞最终帮助其获得高额漏洞赏金。... 2025-9-13 07:52:24 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com hardcoded apk jacket reverse aifrom

How to Make mspaint Say “Meow”: A Playful Guide to DLL Injection 文章介绍了一种经典的Windows DLL注入技术：通过LoadLibraryA函数将自定义DLL注入目标进程（如mspaint.exe），展示了如何实现和背后的原理。... 2025-9-13 07:51:22 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com injection memory windows

The $1000 Critical Bug: Unauthorised Access Leading to Support Admin Panel Takeover 两位安全研究人员发现并利用REDACED.COM漏洞接管支持面板；通过篡改注册参数获取管理员权限；报告后问题迅速修复；然而公司更改政策导致奖金低于预期；最终接受较低奖金。... 2025-9-13 07:50:51 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com usertype security buckle

The $1000 Critical Bug: Unauthorised Access Leading to Support Admin Panel Takeover 两位安全研究人员发现REDACED.COM存在漏洞，通过篡改注册请求参数获取管理员权限，并访问了73,000多个支持票证。尽管漏洞迅速修复，但奖金从预期的$3,000-$5,000降至$1,000。... 2025-9-13 07:50:51 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com usertype security stumbled

Escalate_Linux: 1 — Walkthrough Escalate_Linux是一个用于学习Linux后渗透攻击技术的漏洞虚拟机，包含12种以上的垂直、水平及多级权限提升方法。用户通过网络扫描发现目标IP地址，并使用Nmap识别开放端口和服务。随后利用WhatWeb进行指纹识别和Dirsearch枚举目录文件以获取初始访问权限。成功进入目标系统后，通过手动和自动化工具如LinPEAS进行详细枚举以发现潜在漏洞。主要采用SUID/SGID文件、NFS配置错误（如no_root_squash）、sudo命令滥用、crontab任务修改及系统文件篡改等方式实现权限提升至root级别。... 2025-9-13 07:50:5 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com machine nfs passwd privileges 2049

Boiler CTF Walkthrough: Medium TryHackMe Challenge with Joomla Exploit & Privilege Escalation 本文介绍了一个中等难度的CTF挑战——Boiler CTF的详细指南，通过初始枚举、端口扫描、Web目录枚举及CMS发现等步骤，成功获取目标系统的用户和root权限，并最终捕获旗帜完成挑战。... 2025-9-13 07:49:12 | 阅读: 6 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com gobuster nmap boiler thorough

Kioptrix Level 2 渗透测试报告针对目标系统192.168.133.142（CentOS 4.5）发现多处严重漏洞：Apache 2.0.52存在拒绝服务、缓冲溢出及远程代码执行风险；登录页面SQL注入可绕过认证；Web应用命令注入允许远程执行。通过反向shell获取apache权限后利用本地提权exploit成功获取root权限。... 2025-9-13 07:48:58 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com injection machine reverse 9542 sizeresult

14. How to Write a Perfect Vulnerability Report 文章讲述了如何将原始漏洞发现转化为高质量报告以吸引赏金猎人关注，并强调了清晰表达和专业撰写的重要性。... 2025-9-13 07:47:52 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com scratch triagers wins elusive fourth

14. How to Write a Perfect Vulnerability Report 文章讲述了一名网络安全爱好者如何将漏洞发现转化为高质量报告的经验，并强调撰写清晰、专业的报告对获取赏金的重要性。作者通过个人经历分享了在漏洞赏金领域的学习与成长过程。... 2025-9-13 07:47:52 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com scratch triagers geminihey abhijeet turning

This Clickjacking Bug Was Worth $140 – Here’s How 作者通过发现Clickjacking漏洞并结合Open Redirect漏洞，在登录页面成功实现恶意跳转至evil.com，最终获得$140赏金。... 2025-9-13 07:47:51 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com chained size3 rewardwhen qualify

This Clickjacking Bug Was Worth $140 – Here’s How 作者通过发现Clickjacking漏洞并结合开放重定向漏洞成功获得140美元赏金。他利用clickjacker.io测试目标网站登录页面的Clickjacking问题，并编写HTML代码演示漏洞链式攻击效果，最终实现恶意重定向。... 2025-9-13 07:47:51 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com chained qualify prize size3

A deep dive into Cloudflare’s September 12, 2025 dashboard and API outage Cloudflare遭遇了一次由Tenant Service API故障引发的服务中断。问题源于React组件中的useEffect钩子依赖对象频繁变化，导致API被过度调用。叠加Tenant Service更新压力，服务过载并崩溃。此次事件影响了API和仪表盘的可用性，并导致授权失败返回5xx错误。Cloudflare通过增加资源、限流和回滚代码恢复服务，并计划改进Argo Rollouts部署机制以防止类似事件再次发生。... 2025-9-13 07:19:0 | 阅读: 2 | 收藏 | The Cloudflare Blog - blog.cloudflare.com outage ultimately kv retries

公安部网络安全保卫局局长谭权：深化网络空间安全综合治理 为网络强国建设贡献更大公安力量 党的十八大以来，在习近平总书记关于网络强国的重要思想指引下，全国公安机关深化网络空间治理，坚决维护网上政治安全和社会稳定。通过强化网络安全保护、打击网络犯罪、服务数字经济发展等措施，推动网信事业取得历史性成就。... 2025-9-13 02:32:11 | 阅读: 3 | 收藏 | FreeBuf网络安全行业门户 - www.freebuf.com 网络 安全 公安

中国防火长城（GFW）最大规模的内部文件泄露 2025年9月11日，中国防火长城发生史上最大规模文件泄露事件，超500GB源代码等被泄。泄露源自积至公司及MESA实验室，文件显示其不仅服务国内多地政府，还通过“一带一路”向多国输出审查与监控技术。... 2025-9-13 02:31:0 | 阅读: 145 | 收藏 | 黑海洋 - WIKI - blog.upx8.com gfw 长城 中国 信息 mesa

2025年企业勒索病毒演练指南 当前环境出现异常状态，需完成验证后才能继续访问服务。... 2025-9-13 02:5:0 | 阅读: 3 | 收藏 | 天黑说嘿话 - mp.weixin.qq.com

在端侧 AI 时代正式到来之前，联想想先做好硬件「杀手锏」 文章指出当前环境存在异常情况,需完成验证后方可继续访问。... 2025-9-13 02:3:0 | 阅读: 2 | 收藏 | 极客公园 - mp.weixin.qq.com