Padelify — THM Writeup 作者在TryHackMe的Padelify房间中展示了如何通过Nmap和GoBuster发现目标服务，并利用XSS漏洞窃取管理员cookie提升权限至moderator。接着使用URL编码绕过WAF访问配置文件获取admin_info字段作为密码成功登录管理员账户并完成挑战。... 2026-1-12 13:25:20 | 阅读: 0 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com payload moderator sizei nmap gobuster

React2Shell (CVE-2025–55182) — From React Server Components to Full RCE React2Shell（CVE-2025-55182）是一种未认证的不安全反序列化漏洞，影响React服务器组件及Next.js等框架。攻击者可通过Flight协议实现可靠的远程代码执行。该漏洞CVSS评分为10.0，极具破坏性。GitHub提供相关Payload、HTTP请求及检测规则。... 2026-1-12 13:24:27 | 阅读: 0 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com react2shell github 55182 linkpress dealcve

The Dark Web Dump Was Old — The Vulnerability Wasn’t ️ 旧数据的价值常被忽视,但重新审视可能发现隐藏问题。三年前的漏洞数据被认为无用,却仍具威胁性。... 2026-1-12 12:53:44 | 阅读: 0 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com expired hey tscrolling roasting resumes

The Dark Web Dump Was Old — The Vulnerability Wasn’t ️ 嗯，用户让我总结一篇文章，控制在100字以内，而且不需要用“文章内容总结”这样的开头。首先，我得仔细阅读这篇文章，抓住主要内容。 文章讲的是作者在深夜浏览暗网论坛时发现了一个三年前的数据泄露帖子。大家都不以为然，觉得数据过时了。但作者觉得这些旧数据可能还有价值，于是深入挖掘。这可能涉及到网络安全、数据泄露的后续影响以及如何利用旧数据进行攻击。 接下来，我需要把这些要点浓缩成一句话。要突出时间、数据类型、大家的态度以及作者的不同看法。这样既简洁又准确。 最后，检查一下字数，确保不超过100字，并且表达清晰。这样用户的需求就能得到满足了。 </think> 深夜浏览暗网论坛发现三年前数据泄露帖子，众人认为已过时无用，但作者认为旧数据仍具价值并展开调查。... 2026-1-12 12:53:44 | 阅读: 0 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com expired recycled bro aifree sizeimage

How I Discovered Client-Side Desync (HTTP Request Smuggling) in Bug Bounty and Got Rewarded 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。用户的要求很明确，不需要用“文章内容总结”之类的开头，直接写描述即可。 首先，我得仔细阅读用户提供的文章内容。文章主要讲的是客户端同步漏洞（CSD），属于HTTP请求走私的一种。作者在之前的博客中分享了第一个漏洞赏金的故事，这次则是深入的技术分析。 接下来，我需要提取关键信息：CSD是什么？它是如何工作的？攻击者如何利用它？以及它带来的影响。这些都是用户可能关心的重点。 然后，我要确保语言简洁明了，避免使用复杂的术语，让读者容易理解。同时，控制在100字以内，所以需要精炼每个要点。 最后，检查一下是否符合用户的所有要求：中文、直接描述、无多余开头、字数限制。确保没有遗漏任何重要信息，并且表达清晰。 </think> 这篇文章详细介绍了客户端同步漏洞（CSD）及其作为HTTP请求走私的一种形式的工作原理。攻击者通过构造恶意HTTP请求，利用客户端与服务器之间的解析差异，导致后续请求处理异常，可能引发敏感信息泄露、缓存中毒或会话劫持等问题。... 2026-1-12 12:45:49 | 阅读: 0 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com client csd attacker desync abuses

How I Discovered Client-Side Desync (HTTP Request Smuggling) in Bug Bounty and Got Rewarded 作者深入探讨了Client-Side Desync（CSD）漏洞，解释其利用客户端与服务器解析差异进行攻击的技术细节。... 2026-1-12 12:45:49 | 阅读: 0 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com client csd attacker desync poisoning

How Playing CTFs Taught Me to Think Like a Hacker 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解其主要观点。 文章主要讲的是CTF（Capture The Flag）比赛如何培养黑客思维。作者通过自己的经历，强调了好奇心、创造力和毅力的重要性。他提到CTF不仅仅是技术挑战，更是心态的训练，比如面对失败时的坚持和解决问题的耐心。 接下来，用户要求总结在100字以内，不需要特定的开头。我需要抓住关键点：CTF的作用、培养的心态、学习方法以及工具的重要性。 然后，我要确保语言简洁明了，避免使用复杂的词汇。可能的结构是先说明CTF的作用，然后提到培养的心态和学习方法，最后强调工具的重要性。 现在开始组织语言：文章探讨了CTF比赛如何培养黑客思维，强调好奇心、创造力和毅力的重要性。通过实际操作和失败中的学习，参与者能够掌握解决问题的技巧，并认识到心态和技术同样重要。 检查字数是否在限制内，并确保涵盖所有关键点。 </think> 文章探讨了CTF比赛如何培养黑客思维，强调好奇心、创造力和毅力的重要性。通过实际操作和失败中的学习，参与者能够掌握解决问题的技巧，并认识到心态和技术同样重要。... 2026-1-12 12:45:44 | 阅读: 0 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com ctfs mindset security tryhackme creativity

How Playing CTFs Taught Me to Think Like a Hacker 嗯，用户让我用中文总结这篇文章，控制在100字以内，而且不需要特定的开头。首先，我需要通读整篇文章，抓住主要内容。 文章主要讲的是CTF比赛如何培养黑客思维。作者通过自己的经历，强调了好奇心、创造力和毅力的重要性。还提到CTF与现实世界 hacking 的区别和联系，以及工具和心态的关系。 接下来，我需要把这些要点浓缩成一句话，不超过100字。要确保涵盖CTF的作用、关键思维特质以及作者的观点。 最后，检查一下是否符合用户的要求，没有使用“文章内容总结”之类的开头，并且语言简洁明了。 </think> 文章探讨了CTF（Capture The Flag）比赛如何培养黑客思维，强调好奇心、创造力和毅力的重要性，并通过实际案例展示了CTF与现实世界 hacking的区别与联系。作者认为工具并非关键，关键在于思维方式和持续学习。... 2026-1-12 12:45:44 | 阅读: 0 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com ctfs mindset security reverse tryhackme

How I Became the 4th Top Bug Bounty Researcher on Comolho: My Journey 好的，我现在需要帮用户总结这篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，了解主要内容。文章的作者是Rajan Kumar Barik，他以ANONDGR的名字在网络安全领域工作，主要作为漏洞赏金猎人。文章讲述了他从一个完全的新人成长为Comolho平台全球排行榜第四名的经历。 接下来，我需要抓住几个关键点：他的背景、动机、遇到的挑战、发现的过程以及取得的成就。他最初是在完成BCA学位后找不到工作，于是转向漏洞赏金猎人。他的动机不仅仅是赚钱，还包括获得尊重和个人成长。在过程中，他遇到了很多困难和挑战，但通过不断学习和努力，最终发现了多个高影响漏洞，并获得了认可。 现在我要把这些信息浓缩到100字以内。需要注意的是不需要使用“文章内容总结”之类的开头，直接描述即可。所以我会强调他的身份、成长过程、主要成就以及他的经历如何激励他人。 最后检查一下字数是否符合要求，并确保内容准确传达了文章的核心信息。 </think> Rajan Kumar Barik, known as ANONDGR, shares his journey from a cybersecurity novice to becoming the 4th top bug bounty hunter on Comolho's leaderboard. Starting with no prior experience, he overcame challenges, discovered impactful vulnerabilities, and earned recognition through persistence and skill development. His story highlights the importance of mindset, dedication, and continuous learning in achieving success in cybersecurity.... 2026-1-12 12:45:43 | 阅读: 0 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com comolho felt mindset

How I Became the 4th Top Bug Bounty Researcher on Comolho: My Journey 好的，我现在需要帮用户总结一篇文章的内容，控制在100个字以内。用户提供的文章是关于Rajan Kumar Barik作为漏洞赏金猎人的经历。 首先，我需要通读整篇文章，抓住主要信息。文章开头介绍了作者Rajan，他作为ANONDGR在网络安全领域工作。接着讲述了他从BCA毕业后的求职困难，转而进入漏洞赏金领域。他选择Comolho平台作为起点，最初只是为了赚点钱支付网络费用。 然后，文章详细描述了他遇到的挑战和如何克服它们。他最初对选择哪个项目、如何报告漏洞等问题感到困惑。通过努力和学习，他在Zerodha发现了多个漏洞，并逐渐积累了100多个有效报告，最终在Comolho的全球排行榜上排名第四。 接下来是他的学习和心得部分，强调了心态、专注和影响的重要性。他还给出了给新手和专业人士的建议。 最后，总结部分提到他将继续分享技术细节，并保持成长。 现在我需要将这些内容浓缩到100字以内。重点包括：作者身份、从失业到成为赏金猎人的转变、通过努力获得成就、关键因素如心态和影响的重要性。 确保语言简洁明了，不使用复杂的结构。同时注意不要遗漏关键点：身份转变、成就、关键因素。 </think> Rajan Kumar Barik, known as ANONDGR, shares his journey from a struggling graduate to becoming the 4th top bug bounty hunter on Comolho. Starting with no plan, he focused on mindset, consistency, and impact, discovering vulnerabilities and earning recognition. His story highlights the importance of perseverance and skill development in cybersecurity.... 2026-1-12 12:45:43 | 阅读: 0 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com comolho felt mindset

The €400 Bug - VPN/Geo Location Bypass 一名安全研究员在漏洞赏金平台上手动测试后被封禁。通过修改X-Forwarded-For头绕过地理限制并报告漏洞。尽管赏金支付延迟且降级，但事件凸显了安全研究的重要性。... 2026-1-12 12:39:7 | 阅读: 0 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com geo restriction kept hats client

Bug Bounty Tools: A Practical List of Old & New Tools Real Hackers Use 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内，并且不需要特定的开头。首先，我得仔细阅读用户提供的文章内容，理解其主要观点。 文章主要讨论了漏洞赏金狩猎工具的重要性。作者指出，工具本身并不能自动发现漏洞，而是需要人来操作。正确的工具能帮助发现更多漏洞，减少干扰，并让猎手专注于逻辑分析而非重复性工作。 接下来，文章列出了真实漏洞赏金猎人使用的工具列表，包括经典工具、现代侦察工具和自动化辅助工具。这些工具不是简单的一键式解决方案，而是可以根据个人工作流程进行调整的工具箱。 总结时，我需要抓住几个关键点：漏洞赏金狩猎、工具的作用、实用工具列表、侦察与资产发现、经典与现代工具结合。同时，要确保语言简洁明了，不超过100字。 最后，检查一下是否符合用户的要求：直接描述内容，不使用特定开头，并且控制在100字以内。 </think> 文章介绍了漏洞赏金狩猎中实用的工具和命令行工具，帮助减少干扰并提高效率。涵盖侦察与资产发现、经典与现代工具等实用资源。... 2026-1-10 08:15:27 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com helpers mix realize

Bug Bounty Tools: A Practical List of Old & New Tools Real Hackers Use 嗯，用户让我帮忙总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，我需要理解文章的主题。看起来这篇文章是关于漏洞赏金计划的工具箱，强调工具的重要性以及如何帮助发现漏洞。 用户可能是一位安全研究人员或者参与漏洞赏金计划的人，他们需要快速了解文章内容，所以摘要必须简洁明了。我要确保涵盖文章的主要点：工具的作用、工具的类型（包括经典和现代工具）、以及这些工具如何帮助减少噪音和提高效率。 另外，用户可能希望摘要直接描述内容，不需要像“这篇文章总结了...”这样的开头。所以我要直接进入主题，用简洁的语言表达出来。 最后，检查一下字数是否在限制内，并确保所有关键点都被涵盖。这样用户就能快速获取所需的信息了。 </think> 文章介绍了一个实用的漏洞赏金工具箱，包含经典和现代工具，帮助安全研究人员高效发现漏洞。这些工具减少干扰、揭示隐藏攻击面，并支持逻辑分析而非重复操作。... 2026-1-10 08:15:27 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com repetition born realistic noise uncover

Which Bugs to Hunt for in 2026 好，我需要帮用户总结这篇文章的内容，控制在100字以内，而且不需要特定的开头。首先，文章主要讨论了漏洞赏金猎人的现状和未来趋势。 文章提到AI集成带来的新攻击面，特别是提示注入、系统提示泄露等漏洞。还有 credential stuffing 的增加，以及微服务架构导致的竞态条件问题。这些都是当前和未来的重点。 我需要把这些关键点浓缩到100字以内，确保涵盖主要趋势和机会。注意不要使用“文章内容总结”这样的开头，直接描述内容。 可能的结构是：先说漏洞赏金的竞争激烈，然后提到AI攻击、credential stuffing和竞态条件的趋势，最后强调猎人需要适应变化。 现在试着组织语言： 漏洞赏金领域竞争激烈，AI集成扩大攻击面，credential stuffing增多，微服务架构导致竞态条件问题。猎人需关注这些趋势以抓住机会。 检查字数：大概70字左右，可以再详细一点： 漏洞赏金领域竞争激烈，AI集成扩大攻击面（如提示注入、数据泄露），credential stuffing增多，微服务架构导致竞态条件问题。猎人需适应趋势抓住机会。 这样大概90字左右，符合要求。 </think> 漏洞赏金领域竞争激烈，需关注AI集成带来的攻击面扩大、Credential Stuffing增多及微服务架构引发的竞态条件等问题。猎人应适应趋势以抓住更多机会。... 2026-1-10 08:15:6 | 阅读: 5 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com hunters llm database

Which Bugs to Hunt for in 2026 嗯，用户让我总结一篇文章的内容，控制在100字以内，而且不需要特定的开头。我先看看文章讲了什么。 文章主要讨论了漏洞赏金狩猎中的几个关键趋势。首先是AI集成带来的攻击面扩大，比如提示注入、系统提示泄露等漏洞。然后是凭证填充攻击的增加，以及如何利用数据泄露搜索引擎来寻找目标。最后提到了微服务架构导致的竞争条件漏洞更容易被发现。 我需要把这些要点浓缩到100字以内，同时保持简洁明了。要注意涵盖AI攻击、凭证填充和竞争条件这三个主要方面。 可能的结构是：先点明主题是漏洞赏金的趋势，然后分别提到AI攻击、凭证填充和竞争条件，最后总结这些机会。 检查一下字数，确保不超过限制。可能需要调整用词，使句子更紧凑。 最终总结应该是：漏洞赏金领域趋势包括AI集成带来的攻击面扩大、凭证填充增加及微服务架构引发的竞争条件漏洞增多。 </think> 文章探讨了漏洞赏金领域的趋势，包括AI集成带来的攻击面扩大、凭证填充攻击的增加以及微服务架构引发的竞争条件漏洞增多。... 2026-1-10 08:15:6 | 阅读: 1 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hunters llm hackerone

How I Hacked My College’s Website and Found a CVE Affecting 100+ Institutions across India 一名计算机科学学生在测试学校网站时发现了一个严重的SQL注入漏洞，该漏洞影响了超过100所教育机构，并被正式分配了CVSS评分为9.8的CVE编号。该学生通过负责任的方式披露了漏洞，并与CERT/CC协调修复工作。... 2026-1-10 08:14:44 | 阅读: 6 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security injection responsibly careful

We Grow on the Edge of the Abyss 作者为参加Hack The Box CTF做了四天准备，尝试配置MCP环境并使用多种AI工具（如Cursor IDE、5ire、Claude Code），但因HTB令牌过期及技术问题未能完成目标。尽管如此，作者积累了MCP经验并搭建了运行良好的Kali MCP环境。... 2026-1-10 08:14:20 | 阅读: 2 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com mcp claude htb 5ire security

One Forgotten Subdomain, Thousands of User Records — A Recon Story 好的，我现在要帮用户总结一篇文章的内容，控制在100字以内。首先，我需要仔细阅读文章内容，理解其主要观点和关键信息。 文章讲的是生活中的遗忘现象，比如未删除的旧邮箱、静默扣费的健身房会员等。接着提到公司也会遗忘一些东西，特别是子域名。作者通过耐心和好奇心，发现了一个被遗忘的子域名，导致数千条用户记录泄露。整个故事强调了细致的侦察工作的重要性。 接下来，我要将这些信息浓缩到100字以内。需要抓住几个关键点：生活中的遗忘现象、公司的子域名问题、作者的侦察过程以及结果。 可能的结构是：生活中的遗忘现象引出公司遗忘子域名的问题，作者通过耐心和好奇心发现一个子域名泄露了用户数据。 现在开始组织语言： 生活中的遗忘现象提醒人们处理旧事物的重要性。公司常忽视维护子域名，导致安全漏洞。作者通过细致的侦察发现了一个被遗忘的子域名，泄露了数千用户记录。 检查字数是否在100字以内，并确保信息准确传达。 </think> 生活中的遗忘现象提醒人们处理旧事物的重要性。公司常忽视维护子域名，导致安全漏洞。作者通过细致的侦察发现了一个被遗忘的子域名，泄露了数千用户记录。... 2026-1-10 08:5:49 | 阅读: 5 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com quietly habit maintained sizeimage patience

One Forgotten Subdomain, Thousands of User Records — A Recon Story 好的，我现在需要帮用户总结一篇文章的内容，控制在100字以内。首先，我得仔细阅读文章，理解其主要观点和结构。 文章开头提到生活常常提醒我们忘记的事情，比如未删除的邮箱、静音但未退出的WhatsApp群组，以及仍在扣费的健身房会员。接着，作者类比到公司也会忘记维护一些子域名。这些被遗忘的子域名有时会泄露用户数据。 故事从一次网络侦察开始，作者没有使用漏洞或工具，而是通过耐心和好奇心寻找不再维护的部分。最终发现了一个遗留子域名，泄露了数千条用户记录。 总结时，我需要涵盖生活中的遗忘、公司的子域名问题、侦察过程以及结果。同时要简洁明了，控制在100字以内。 可能会这样组织：生活提醒我们忘记的事物，公司同样忘记维护子域名。通过侦察发现一个遗留子域名泄露了用户数据。整个过程强调耐心和好奇心。 现在检查字数是否符合要求，并确保内容准确传达文章的核心信息。 </think> 生活常提醒人们遗忘的事物,企业也常忽视维护子域名。一次网络侦察中,通过耐心和好奇心发现一个被遗忘的子域名,意外泄露了数千条用户记录。... 2026-1-10 08:5:49 | 阅读: 1 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com quietly habit gym funny ailife

CyberHeroes THM Writeup 嗯，用户让我用中文帮他总结一下这篇文章的内容，控制在100个字以内。首先，我需要仔细阅读文章，理解其主要内容。 文章讲的是一个叫做CyberHeroes的TryHackMe房间，属于初级水平。目标是通过检查暴露的Web逻辑来破解客户端身份验证。作者首先进行了Nmap扫描，发现开放了SSH和HTTP服务。接着访问HTTP服务，登录页面有一个JavaScript块，里面包含了硬编码的用户名和反转的密码字符串。通过反转字符串，作者得到了密码，并成功登录获取了flag。 总结的时候要注意控制字数，并且不要使用特定的开头词。我应该涵盖主要步骤：扫描、检查JavaScript、获取凭证、登录并获得flag。同时要突出客户端逻辑的重要性。 现在组织语言，确保简洁明了。可能需要提到Nmap扫描、JavaScript中的凭证、反转密码以及最终获取flag的过程。 </think> 文章描述了一个TryHackMe房间“CyberHeroes”，通过检查暴露的JavaScript代码获取用户名和密码，成功登录并获得flag。该过程展示了客户端逻辑的重要性。... 2026-1-10 08:5:41 | 阅读: 5 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com tryhackme cpe ssh nmap reveals