Mastering Nmap: The Ultimate Guide to Network Scanning and Vulnerability Detection Nmap是一款免费开源的网络映射工具，广泛应用于网络安全领域。它支持主机发现、端口扫描、服务枚举及漏洞检测等功能，并通过强大的NSE脚本引擎实现自动化探测。适用于Linux、Windows和macOS平台的Nmap是渗透测试人员、网络管理员及安全专家的重要工具。... 2025-8-14 05:26:42 | 阅读: 8 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com network nmap exploration weaknesses

How AI Passes Hidden Traits Through Training and How to Stop It AI训练中可传递隐藏个性：2025年研究显示，"教师"AI能将偏见、恶意等特性隐秘地传递给"学生"模型，即使去除显式内容。看似无害的数据可能引发危险行为，常规过滤无法检测此风险。... 2025-8-14 05:26:27 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com traits anthropic openai teacher truthful

OWASP Agentic AI CTF — FinBot DEMO: Goal Manipulation OWASP组织的FinBot CTF挑战展示了如何通过精心设计的提示绕过AI安全措施，批准欺诈性发票。参与者需利用紧急情况或高层授权等手段操控AI决策流程。该挑战分为简单、中级和困难三个难度级别。... 2025-8-14 05:26:13 | 阅读: 17 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com finbot security urgent invoice approve

How I Found a Horizontal Privilege Escalation Vulnerability — From Recon to Exploit 研究人员在漏洞赏金活动中发现了一个水平权限提升漏洞，通过替换用户ID成功访问其他用户账户并重置密码。文章详细介绍了其侦察过程和漏洞利用步骤。... 2025-8-14 05:23:51 | 阅读: 8 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com attacker stays sizeduring privileges

How I Found a Horizontal Privilege Escalation Vulnerability — From Recon to Exploit 研究人员在漏洞赏金活动中发现了一种水平权限提升漏洞，通过替换用户ID访问其他用户账户并重置其密码。... 2025-8-14 05:23:51 | 阅读: 10 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com attacker approached gains sizeduring exploited

️ How to Bypass Web Application Firewalls (WAFs) Web应用防火墙（WAF）作为网站的安全屏障，通过过滤流量和阻止常见攻击如SQL注入和XSS来保护 web 应用程序。尽管 WAF 可以基于规则检测威胁并拦截恶意请求，但其并非无懈可击，经验丰富的渗透测试人员和红队成员仍可能绕过其防护。WAF 可以部署为网络型、云型或主机型，并且一些高回报的安全漏洞可能隐藏在 WAF 规则之后。... 2025-8-14 05:23:43 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com wafs injection network cloud teamers

️ How to Bypass Web Application Firewalls (WAFs) Web应用防火墙（WAF）作为网络安全的重要防线，通过部署在网络、云或主机端拦截常见攻击如SQL注入和XSS。尽管其规则能有效识别威胁并阻止恶意请求，但经验丰富的攻击者仍可能绕过防护机制。这种安全措施的局限性也为寻找高价值漏洞提供了机会。... 2025-8-14 05:23:43 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com wafs injection bouncers network centers

Dorks For Sensitive Information Disclosure Part-3 文章介绍了Google爬虫获取的信息和分类的Dorks技巧及其用途，包括OSINT和漏洞赏金，并提供示例供直接使用。... 2025-8-14 05:23:24 | 阅读: 10 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com php crawlers juicy sizebelow dorks

InfoSec Writeups x BSides Vizag 2025 — CFP Now Open! InfoSec Writeups宣布成为BSides Vizag 2025官方社区合作伙伴，并开放Call for Papers。大会欢迎网络安全领域的研究成果、工具、案例分享和技术探讨，并特别关注硬件 hacking、物联网安全、区块链安全等议题。无论经验如何，参与者均可提交30或45分钟演讲、研究演示等，共同推动印度网络安全生态发展。... 2025-8-12 14:12:46 | 阅读: 10 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security matters bsides vizag

“Day 1: Breaking Into Bug Bounties — Your First Steps” 作者分享了参与漏洞赏金计划的经历，从初学时的迷茫到一年内发现50多个漏洞并获得报酬。他强调耐心阅读政策和使用基本工具的重要性，并鼓励读者从简单任务开始尝试。... 2025-8-12 06:11:54 | 阅读: 6 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hackerone mine staring everywhere

“Day 8: Mobile Hacking — How I Cracked a Banking App’s PIN in 10 Seconds ($5000 Bug)” 文章描述了一名研究人员通过逆向分析发现某银行应用的安全漏洞,利用Frida脚本绕过生物识别认证,成功访问用户账户并获得5000美元漏洞赏金的过程,并总结了移动应用常见的安全问题,如硬编码密钥、不安全本地存储和缺乏证书钉扎等。... 2025-8-12 06:11:37 | 阅读: 14 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com keychain reverse weaker linkpress

“Day 8: Mobile Hacking — How I Cracked a Banking App’s PIN in 10 Seconds ($5000 Bug)” 作者逆向分析了一款声称使用“军用级加密”的银行应用，发现其在iOS Keychain中明文存储用户PIN码。通过Frida脚本绕过生物识别认证后，成功访问账户并获得5000美元漏洞赏金。... 2025-8-12 06:11:37 | 阅读: 6 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com keychain weaker apkmirror theory pinning

Double Trouble VulnHub Walkthrough: Step-by-Step Guide to Solving ‘Machine Inside a Machine’ for… 设置实验环境时，需将Kali Linux和Double Trouble VM连接至桥接网络，并在同一局域网中启动两者。通过运行sudo netdiscover扫描本地网络以识别目标IP地址。... 2025-8-12 06:8:11 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com trouble network identify machine bridged

VulnCMS 1 VulnHub CTF Walkthrough for Beginners 文章描述了如何在VulnHub下载并导入VulnCMS虚拟机到VirtualBox中，并通过桥接适配器设置网络连接。然后使用Kali Linux运行netdiscover扫描本地网络以发现目标IP地址，以便进一步进行服务信息收集。... 2025-8-12 06:8:7 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com machine vulncms network download vulnhub

AWS SNS Secrets: From Misconfiguration to Exploitation - A CloudGoat Walkthrough 文章描述了一个因AWS SNS配置错误导致敏感信息泄露的案例，展示了攻击者如何利用不当配置的SNS主题和API Gateway密钥访问Secrets Manager中的敏感数据。通过CloudGoat工具和Pacu框架模拟了从初始访问到权限提升的全过程。... 2025-8-12 06:7:36 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com sns arn apigateway pacu

Bugcrowd CTF 2025 文章描述了作者在Bugcrowd CTF中解决多个挑战的经历，包括利用整数溢出、逆向工程、ZIP文件解密、GitHub历史记录分析、服务器端点利用以及AI相关爬虫技术等方法成功获取flag的过程。... 2025-8-12 06:7:31 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com sizethis deposit twist sizeand sizeso

Logs Don’t Lie: How a GraphQL Debug Endpoint Spilled the Entire Database ️ 从一杯咖啡开始,安全研究人员通过GraphQL调试端点入侵系统,意外发现debug-api.target.com子域名并获取整个数据库。... 2025-8-12 06:6:40 | 阅读: 25 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com coffee chrome myself hey tabs

Logs Don’t Lie: How a GraphQL Debug Endpoint Spilled the Entire Database ️ 研究人员通过GraphQL调试端点发现数据库漏洞，导致数据泄露。使用subfinder和httpx工具侦察时，在debug-api.target.com发现漏洞。... 2025-8-12 06:6:40 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com coffee sizeimage mc httpx aiit

AI-Powered Cyber Attacks: Deepfakes, Bots, and Beyond 黑客利用深度伪造技术模仿公司CFO的声音和形象，在视频会议中诱骗转账2500万美元。攻击者通过公开视频训练AI克隆声音和面部表情，绕过防火墙和多因素认证系统。最终仅追回部分资金，其余被用于非法活动。... 2025-8-12 06:6:6 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com maria warfare lip cfo 25m

A Deep Dive into Improper Authentication 文章探讨了两步验证中的一次性密码可重用漏洞及其检测方法，并通过HackerOne报告中的案例分析了该问题的影响及解决措施。... 2025-8-12 06:5:24 | 阅读: 26 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com otp reusable hackerone