XSS Exploit via RichText Parser Reddit计划发帖功能存在漏洞，允许嵌入恶意JavaScript链接引发XSS攻击。该问题源于RichText解析器未正确过滤超链接。修复措施包括服务器端过滤和验证机制。... 2025-8-22 07:43:34 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com reddit malicious richtext attackers modifying

XSS Exploit via RichText Parser Reddit的定时发布功能存在严重漏洞，其RichText解析器未能有效过滤超链接，在服务器端未进行充分验证。攻击者可利用javascript: scheme替换合法链接，导致XSS攻击。该漏洞已被修复。... 2025-8-22 07:43:34 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com reddit malicious attackers richtext revoltage

Clipboard DOM-based XSS in GitLab GitLab的Markdown字段因未消毒导致DOM型XSS漏洞，攻击者可利用剪贴板注入恶意代码，在用户不知情下执行任意JavaScript，带来严重安全风险。文章详细分析了漏洞的技术细节、影响及修复建议。... 2025-8-22 07:39:42 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com clipboard unsanitized security client gitlab

Clipboard DOM-based XSS in GitLab 文章揭示了GitLab Markdown字段中的DOM型XSS漏洞,利用剪贴板注入恶意代码,在用户不知情下执行JavaScript,传统安全措施难以检测。... 2025-8-22 07:39:42 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com clipboard security client gitlab unsanitized

Mastering WordPress Bug Hunting: A Complete Guide for Security Researchers 文章介绍了WordPress网站常见的安全漏洞及其成因，并提供了检测和修复的方法。... 2025-8-22 07:39:30 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com wordpress attackers mistakes popularity

Mastering WordPress Bug Hunting: A Complete Guide for Security Researchers 本文探讨了WordPress网站常见的安全漏洞及其修复方法。通过分析核心文件、主题和插件的安全风险，提供实用策略帮助用户识别并防范高危漏洞，提升网站安全性。... 2025-8-22 07:39:30 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com wordpress attackers strengthen popularity

This Is How I Got $750 From My First IDOR 作者通过改进Dorks策略，在2025年5月成功找到自托管漏洞赏金目标。该目标为现代数据管理平台，支持大规模向量数据处理，并包含关键的管理密钥操作功能。... 2025-8-22 07:37:44 | 阅读: 6 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com dorks bugcrowd accordingly intelligent

This Is How I Got $750 From My First IDOR 作者通过改进Dorks策略，在2025年5月成功找到一个自我托管的目标平台。该平台用于大规模数据管理和AI驱动分析，并包含关键的管理密钥功能。... 2025-8-22 07:37:44 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com bugcrowd dorks datasets intelligent

Analysis of Black Energy Malware-Infected RAM Image with Volatility3 文章描述了使用Volatility工具分析Black Energy恶意软件内存镜像的过程，提取了系统信息和进程列表，并发现两个终止的进程。... 2025-8-22 07:37:5 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com windows processes 171333 vol 567078

️ KeySentry v2 — Stop API Key Leaks Before They Stop You KeySentry是一款用于检测GitHub仓库或本地项目中泄露API密钥和敏感文件的安全工具，支持命令行和前端网页扫描模式，操作简便且无需复杂配置。... 2025-8-22 07:37:0 | 阅读: 7 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com github keysentry security frontend lifeblood

️ KeySentry v2 — Stop API Key Leaks Before They Stop You KeySentry是一款检测GitHub仓库或本地项目中泄露API密钥和敏感文件的安全工具，支持命令行和前端扫描模式，无需复杂配置即可快速发现潜在安全风险。... 2025-8-22 07:37:0 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com github keysentry frontend security instant

Buried Treasures in Backups: How .bak Files Handed Me the Keys to Production ️ 文章讲述了一次漏洞赏金经历：作者通过大规模网络侦察发现.bak备份文件，从中提取生产环境数据并获得高Severity奖励。文中展示了工具使用及真实payload案例。... 2025-8-22 07:36:56 | 阅读: 8 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com biryani bak mix subdomain payout

Buried Treasures in Backups: How .bak Files Handed Me the Keys to Production ️ 作者在漏洞赏金计划中通过大规模信息收集意外发现.bak文件,内含生产环境敏感数据,最终获得高额度奖励。... 2025-8-22 07:36:56 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com biryani bak feels hoping buried

“Day 7: API Hacking — How I Stole 5000 OAuth Tokens & Won $300” 作者通过测试一款金融科技应用发现其Firebase数据库因API配置错误而暴露OAuth令牌、银行账户链接及交易记录等敏感信息，并详细介绍了利用Burp Suite和cURL工具进行漏洞验证的过程及技术细节。... 2025-8-20 19:54:41 | 阅读: 8 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com fintech python burp returning histories

“Day 7: API Hacking — How I Stole 5000 OAuth Tokens & Won $300” 测试金融科技应用时发现未受保护的Firebase数据库，泄露OAuth令牌、银行账户链接及交易记录。因API端点配置错误导致漏洞。公司支付300美元漏洞赏金并提供详细技术分析。... 2025-8-20 19:54:41 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com fintech python 403 unprotected proxy

“Day 16: The CI/CD Betrayal — How a Tiny GitHub Action Misconfiguration Led to a $800 Cloud Breach” 文章描述了一次安全评估中发现GitHub Actions配置错误导致AWS凭证泄露的事件，攻击者利用泄露的凭证获利800美元。文章指出CI/CD系统因处理生产凭证和基础设施而成为攻击目标，并强调配置错误的普遍性及潜在的巨大风险。... 2025-8-20 19:54:29 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com pipelines attackers leaking

“Day 16: The CI/CD Betrayal — How a Tiny GitHub Action Misconfiguration Led to a $800 Cloud Breach” 文章描述了一次安全评估中发现GitHub Actions配置错误导致AWS凭证泄露，攻击者利用漏洞获利800美元。揭示CI/CD系统因处理敏感信息和常见配置错误成为攻击目标的风险。... 2025-8-20 19:54:29 | 阅读: 10 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com pipelines attackers killer goldmines

How Hackers Use ChatGPT for Cybersecurity ⚡ ChatGPT被黑客用于网络安全攻击与防御，生成脚本、自动化任务及定制工具以进行DNS枚举、OSINT研究等操作，对网络安全构成威胁并提供防御工具。... 2025-8-20 19:54:26 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com chatgpt subdomain leveraging python

Lo-Fi TCTF 通过nmap扫描发现目标设备的HTTP服务后，利用URL参数中的本地文件包含（LFI）漏洞读取系统文件并成功获取隐藏的flag.txt文件中的标志。强调了输入验证和访问控制的重要性以防止类似漏洞被利用。... 2025-8-20 19:54:18 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com nmap passwd sv inclusion cpe

Query Gone Wild: How I Turned a Forgotten GraphQL Endpoint into Full Account Access 文章讲述了一次漏洞赏金狩猎经历，通过侦察发现了一个隐藏的GraphQL端点，最终获得了完整的账户访问权限。作者强调了在安全测试中寻找不寻常子域名的重要性，并分享了这一过程中的挑战与收获。... 2025-8-20 19:53:46 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com pizza dead hey bigger reward