HTTP Cookies 文章介绍了HTTP协议中的Cookies机制及其作用。Cookies是元数据，用于跟踪无状态的HTTP会话。网站通过Set-Cookie头在浏览器中设置Cookies，并在后续请求中包含这些信息以识别用户。文章详细解释了Cookie的属性（如Domain、Path、Secure）及其生命周期管理，并通过示例演示了如何设置和使用HttpOnly标志以增强安全性。... 2025-8-1 04:16:31 | 阅读: 18 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com cnn client samesite secgpc countrycode

Red Teaming the Cloud: Exploiting Misconfigurations in Azure, GCP, and AWS 文章探讨了云基础设施安全中的关键挑战，包括身份管理、访问控制和资源配置中的配置错误。Azure、GCP和AWS平台均面临潜在攻击风险，如过度权限角色、公开存储容器及暴露的服务主体凭证。红队可利用这些漏洞进行权限提升、数据外泄或持久化访问。防御措施包括强化IAM策略、监控日志及使用安全工具。... 2025-8-1 04:15:56 | 阅读: 22 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com cloud gcp gcloud sts ec2

From Innocent Messages to Total Takeover: How I Hacked a Professional Network! 作者发现了一个类似LinkedIn的专业社交平台的重大安全漏洞。通过利用聊天功能中的XSS漏洞，他成功接管了目标账户，并最终公开披露该漏洞以引起重视。... 2025-8-1 04:15:32 | 阅读: 13 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com payload security malicious victim seriously

From Innocent Messages to Total Takeover: How I Hacked a Professional Network! Let me take you on an exciting journey of how I uncovered a massive security flaw in a professional... 2025-8-1 04:15:32 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com payload security victim malicious attacker

Hack The Box Academy Writeup — PASSWORD ATTACKS — Writing Custom Wordlists and Rules 文章介绍了一种利用OSINT（公开来源情报）和工具（如CeWL和Hashcat）生成定制密码列表的方法，用于解决Hack The Box模块中的密码攻击练习。通过收集目标个人信息、生成初始词典、组合扩展和应用规则变换，最终创建符合密码策略的候选列表，并使用Hashcat尝试破解目标哈希值。... 2025-8-1 04:15:25 | 阅读: 18 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com cewl pairs so0

Phishing via Swagger UI — Exploiting Misconfigurations for Fun & Bounties Swagger UI 是一个帮助开发者与API交互的工具。暴露或配置不当可能导致安全漏洞如XSS和注入。常见问题包括缺乏访问控制和输入清理。使用Subfinder收集子域名有助于发现潜在风险。... 2025-8-1 04:10:45 | 阅读: 19 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com swagger injection developers subfinder

Phishing via Swagger UI — Exploiting Misconfigurations for Fun & Bounties Swagger UI 是一个用于可视化和交互 API 端点的开源工具，但暴露或配置不当可能导致安全风险如 XSS 和 HTML 注入。常见问题包括缺乏访问控制和输入验证。使用 Subfinder 收集子域名有助于发现潜在漏洞。... 2025-8-1 04:10:45 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com swagger injection subfinder developers rewarding

I Dropped Out to Learn Cybersecurity (Without a Degree) — And Landed Paid Work 三年前，作者因对技术的热爱而辍学，并通过自学成为网络安全专家。尽管面临家人和朋友的质疑，他凭借毅力和努力，在网络安全领域取得了显著成就，并通过写作和研究进一步发展了自己的事业。... 2025-8-1 04:9:50 | 阅读: 14 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com myself earning exams taught

I Dropped Out to Learn Cybersecurity (Without a Degree) — And Landed Paid Work Here’s My 3-Year Self-Taught JourneyThis is my Journey my story about what i did in these past years... 2025-8-1 04:9:50 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com myself earning taught exams

CSRF in Disguise: How a Tracking Pixel Let Me Steal User Actions Like a Spy 文章描述了一位安全研究人员通过使用工具抓取目标网站的端点，并利用CSRF配置错误成功发起攻击的过程，展示了负责任漏洞披露的重要性。... 2025-8-1 04:8:8 | 阅读: 15 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com hey honest pulling gemini invisible

CSRF in Disguise: How a Tracking Pixel Let Me Steal User Actions Like a Spy 一位安全研究人员利用1x1像素图像和CSRF配置错误发现并报告了一个安全漏洞。通过工具进行信息收集和漏洞挖掘后，负责任地披露了该问题。... 2025-8-1 04:8:8 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com honest misconfig episode

Stored DOM XSS: A Hidden Threat in Blog Comments Stored DOM XSS是一种通过博客评论等持久输入存储恶意脚本，在客户端静默执行的攻击方式，可能导致严重安全风险。... 2025-8-1 04:7:55 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com ethical client strictly adhere

Stored DOM XSS: A Hidden Threat in Blog Comments How a simple blog comment can hijack your web app. Stored DOM XSS combines the danger of persistent... 2025-8-1 04:7:55 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com client strictly ethical

How I Hacked a $500 Bug Using Just an Email Field 文章介绍了一种简单高效的漏洞赏金获取方法：通过在网站注册表中输入特殊格式的电子邮件地址，利用开发者对客户端验证的疏忽，在15分钟内轻松获得$500奖励。这种方法无需编码知识，适合所有人尝试。... 2025-8-1 04:7:49 | 阅读: 15 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com typed replicate rush beginners

How I Hacked a $500 Bug Using Just an Email Field 文章介绍了一种无需编码的简单技巧，在15分钟内通过输入奇怪邮件地址赚取500美元漏洞赏金的方法，揭示了开发者常忽略客户端验证的漏洞。... 2025-8-1 04:7:49 | 阅读: 10 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com typed weird lies luck displayedif

Linktree Username Validation Bypass: A Hidden Threat with a Leading Space Aditya Sunny发现Linktree存在输入验证绕过漏洞，允许注册带前导空格的用户名。此漏洞可导致身份冒充、钓鱼攻击及信任滥用，在移动端尤为隐蔽。建议Linktree加强后端输入清理及服务器端验证以修复问题。... 2025-8-1 04:7:26 | 阅读: 18 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com username linktr linktree security iela

How a Small Open Redirect Flaw Became a $1000 rXSS Payday 一位黑客在浏览Facebook广告时发现了一个隐藏的Open Redirect漏洞，并利用它发现了反射型XSS（rXSS）漏洞，在HackerOne上获得了1000美元奖励。整个过程仅耗时8分钟。该漏洞存在于流媒体平台Showmax的安全项目中，该项目已6个月未有报告。... 2025-8-1 04:7:13 | 阅读: 15 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com payday hackerone assuming rxss afternoon

Learn about JWT if you want to Bypass Auth JSON Web Token (JWT) 是一种基于 JSON 的令牌格式，用于身份验证和授权。它由三部分组成：头部（包含元数据）、载荷（包含声明）和签名（用于验证）。广泛应用于 Web 开发中以安全传输信息。... 2025-8-1 04:4:50 | 阅读: 11 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com claims hs256 rs256 typ

Hacking Headless on Hack The Box: OSCP Prep 本文描述了Hack The Box平台上的Headless靶机渗透过程,包括添加hosts文件、使用nmap扫描开放端口,发现SSH和HTTP服务,并获取相关服务版本信息等初始步骤。... 2025-8-1 04:4:9 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com ip6 nmap python headless werkzeug

What’s an OSS Vulnerability Janitor? 文章讲述了作者在开源软件行业中的工作经历，特别是处理未修复或未公开的安全漏洞。作者强调了安全漏洞披露和修复的重要性，并通过多个案例展示了由于缺乏CVE ID导致漏洞未被及时修复的问题。作者呼吁更多人参与这一“清理”工作，以提升开源生态的整体安全性。... 2025-7-31 15:48:31 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security github software maintainers