Transforming Images into Insights: The Role of OCR in AI Workflows 光学字符识别（OCR）技术将扫描图像、照片或PDF中的文字转换为可编辑和搜索的数字格式，保留文档结构并支持多语言和复杂布局。通过图像处理、模式识别和机器学习实现高精度识别，并与AI结合推动文档智能发展，提升数据处理效率和自动化水平。... 2025-9-20 01:34:12 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com handwritten printed scanned machine accuracy

WannaCry Ransomware: A DFIR & SOC Monitoring Lab Walkthrough 文章介绍了一个免费搭建网络安全家庭实验室的步骤，包括设置Elastic SIEM、配置Sysmon、执行WannaCry勒索软件样本，并进行静态和动态分析。通过使用Autopsy和Volatility进行数字取证，编写KQL检测规则，并结合MITRE ATT&CK框架进行威胁狩猎，帮助读者掌握网络安全分析技能。... 2025-9-20 00:49:17 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com windows wannacry analysis ransomware sysmon

PicoCTF Web Exploitation Walkthrough |GET aHEAD 文章介绍了解决picoCTF中的“GET aHEAD”挑战的过程，属于Web Exploitation类别，难度为Easy。通过探索不同的HTTP方法和检查服务器响应头中的隐藏信息来发现flag。... 2025-9-20 00:47:49 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com picoctf sizepress webpage difficulty walks

How I ‘Hacked’ NASA Without Going to Jail Antonio Rivera作为安全研究员通过手动测试和注入单引号payload发现NASA子域名vuln.nasa.gov中的漏洞，导致网站崩溃并暴露内部配置信息。该漏洞被报告后迅速修复，并获得感谢信。... 2025-9-20 00:45:53 | 阅读: 3 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com lor prowling poking csti simplest

How I ‘Hacked’ NASA Without Going to Jail Antonio Rivera是一名安全研究员和道德黑客。他通过手动测试和探测发现NASA子域名vuln.nasa.gov中的注入漏洞，并成功利用单引号payload触发调试模式，暴露内部配置信息。该漏洞从报告到修复耗时近两个月，并最终获得NASA的感谢信。... 2025-9-20 00:45:53 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com lor overnight foundi usual

The Bug Behind the Delete Button: How I Found a Critical IDOR 安全研究员Antonio在测试Web应用时发现Broken Object Level Authorization（BOLA）漏洞。通过创建多个账户并观察数据流动，在尝试用户删除请求时发现跨账户操作漏洞。此经历强调了手动测试和攻击思维的重要性，并提醒自动化工具可能遗漏问题。... 2025-9-20 00:44:14 | 阅读: 2 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com userdelete mentions miss ordinary hall

The Bug Behind the Delete Button: How I Found a Critical IDOR Antonio Rivera作为安全研究员，在测试一网络应用时发现Broken Object Level Authorization漏洞。他通过创建多个账户并分析请求数据，最终识别出该漏洞，并强调手动测试的重要性。... 2025-9-20 00:44:14 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com userdelete soa2 ethical ordinary caught

Breaking the "KPMG CTF 2025 Hardest Mobile Challenge": A Deep Dive into VaultPass v2 文章描述了作者通过分析VaultPass_v2.apk APK文件，发现Firebase配置错误和硬编码凭证，成功绕过身份验证并获取隐藏的flag的过程。... 2025-9-20 00:41:56 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com firebase database security apk

UART Shell Privilege Escalation - KPMG CTF 2025 Writeup 该挑战要求从UART接口提取flag，需先启用开发者模式以获取权限。通过分析错误提示并测试命令，发现devmode功能可实现权限提升。最终成功读取flag并完成挑战。... 2025-9-20 00:41:35 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com uart developer devmode denied analysisthe

CVE-2025–10585: The Chrome V8 Zero-Day You Need to Patch Today ⚔️️ Google修复了Chrome V8引擎的零日漏洞CVE-2025–10585，该漏洞可能导致远程代码执行。建议用户立即更新浏览器以应对风险。... 2025-9-20 00:39:21 | 阅读: 4 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com chrome 10585 matters linkpress iframes

#1: Command Injection: A Complete Guide. 命令注入是一种安全漏洞，允许攻击者在服务器上执行任意操作系统命令。当应用程序将用户输入直接嵌入系统命令时，攻击者可插入恶意指令，导致潜在风险。... 2025-9-20 00:37:37 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com injection attacker network friendlink whispers

“How I Bank $1k+ a Month Finding Bugs Everyone Ignores” 作者分享了从追逐高调漏洞转向关注低关注度但高价值的信息泄露（如暴露源代码、API密钥）的经验，并通过发现金融公司测试站点的安全问题获得赏金的故事，展示了转变安全研究思路的重要性。... 2025-9-20 00:36:36 | 阅读: 2 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com fintech staging mindset paint

“How I Bank $1k+ a Month Finding Bugs Everyone Ignores” 文章讲述了一位安全研究人员从追逐高调漏洞转向关注看似无趣的信息泄露问题的经历。通过寻找API密钥、配置错误和开发文件等信息，他成功发现漏洞并获得赏金。这种方法不仅改变了他的研究方式，也带来了实际收益。... 2025-9-20 00:36:36 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com staging fintech poking crazy

17. My Favorite Bug Classes (and Why They Work) 这篇文章分享了作者作为漏洞赏金猎人和网络安全爱好者的经验，探讨如何通过系统性方法发现和利用常见漏洞类别来获得收益，并通过实际案例展示了如何将小问题转化为重大成果。文章适合零基础读者，并提供了持续学习的资源。... 2025-9-20 00:31:40 | 阅读: 2 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com succeed sizecreated literally scratch

Advanced OAuth Secrets Leads To Account Takeover(ATO) OAuth是一种允许第三方应用在不共享密码的情况下代表用户访问资源的框架。其核心组件包括授权服务器、客户端应用、授权码和访问令牌。通过令牌交换机制实现用户身份验证和资源访问控制。然而，配置错误或攻击（如CSRF和开放重定向）可能导致敏感信息泄露或账户接管（ATO），严重威胁用户安全。... 2025-9-20 00:30:25 | 阅读: 2 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com attacker client fragment victim ato

How I got access into National Testing Agency(NTA) and Achieved Full Database Access 作者于2024年4月发现印度国家考试机构NTA的一个子域名使用Laravel框架，并通过目录遍历访问到.env文件，获取了数据库敏感信息。随后向CERT-In报告该漏洞并获确认。... 2025-9-20 00:24:15 | 阅读: 5 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com nta database neet wappalyzer subdomain

Accessing Employee GitHub SSH Key 作者通过回顾之前的渗透测试报告，在整理旧数据时发现了一个被遗忘的关键漏洞，并成功利用该漏洞进行攻击。... 2025-9-20 00:22:13 | 阅读: 3 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com subdomain intersting forgot hunt freee

Accessing Employee GitHub SSH Key 作者通过回顾之前的安全测试报告，在某个子域名中发现了一个关键漏洞，并详细记录了这一过程。... 2025-9-20 00:22:13 | 阅读: 3 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com subdomain intersting hunt knew freee

The God Mode Vulnerability That Should Kill “Trust Microsoft” Forever 微软Entra ID的一个严重漏洞允许通过单个令牌控制所有租户。该漏洞源于集中式架构中的"Actor令牌"验证缺陷。文章呼吁采用分布化、去中心化的"无权化"安全架构以消除单一信任点的风险，并指出相关技术已具备可行性。... 2025-9-19 17:9:57 | 阅读: 7 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com microsoft security trusting god inevitable

The Secret Life of Subdomains : From Takeover to $$$ Bounties 文章探讨了子域名在网络安全中的重要性及其潜在价值。黑客通过发现和利用被遗忘或未受保护的子域名进行攻击或漏洞挖掘。企业往往忽视这些隐藏的网络资源，导致安全风险增加。文章还介绍了如何通过漏洞赏金计划负责任地报告和利用这些子域名来赚取收益，并提供了相关工具和案例分析。... 2025-9-19 06:15:20 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com forgotten subdomain realize hunters hacks