A Deep Dive into a Potential Privilege Escalation Issue 安全研究员ngalog向Shopify的漏洞赏金计划提交报告，指出其Multipass功能存在潜在权限提升漏洞。文章解释了权限提升的概念及其重要性，并详细分析了该漏洞的发现过程及检测方法。... 2025-8-10 05:37:10 | 阅读: 17 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com security multipass gains shopify

A Deep Dive into a Potential Privilege Escalation Issue Shopify的Multipass功能存在潜在权限提升漏洞，安全研究员ngalog提交报告至HackerOne漏洞赏金计划。文章解释了权限提升的概念、漏洞发现过程及检测方法，并提供安全建议。... 2025-8-10 05:37:10 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security shopify gains multipass involving

Cyber Threat Intelligence: Building Your Feed DIY情报系统及时发现未知恶意软件窃取 payroll 数据, 自动化工具快速响应, 有效弥补商业威胁源不足, 基于网络论坛、GitHub 漏洞等多源数据构建情报体系。... 2025-8-10 05:36:6 | 阅读: 19 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com python shot bloated niche

The Epic Tale of a JWT Key Left on a Confluence Wiki Page — Totally Secure, Right? 作者在漏洞赏金平台上寻找目标时使用Google dorks搜索，在尝试查找Atlassian仪表盘时意外发现了一个包含与目标相关文本的仪表盘。... 2025-8-10 05:35:58 | 阅读: 23 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com dorks dashboards bugbounty furthur btw

The Epic Tale of a JWT Key Left on a Confluence Wiki Page — Totally Secure, Right? 文章描述了一次渗透测试经历,作者通过Google dorks搜索意外发现目标网站公开暴露的JWT密钥,最终成功利用该漏洞获取敏感信息。... 2025-8-10 05:35:58 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com dorks evening lappy atlassian dashboards

Customer Transaction PII Data Exposed via Google Dorking 文章描述了通过简单的Google Dorking技术发现客户交易数据的问题，并分享了作者在漏洞挖掘中的经验与技巧。... 2025-8-10 05:35:51 | 阅读: 16 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com dorking intitle intext username ups

Customer Transaction PII Data Exposed via Google Dorking 文章介绍通过Google Dorking技术查找漏洞的方法，包括登录面板、Swagger-UI XSS、.git文件和管理员令牌等，并成功获取赏金。... 2025-8-10 05:35:51 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com username intitle intext dorking ups

HTB Dog Walkthrough 通过nmap扫描目标IP 10.10.11.58发现开放端口22和80。使用git-dumper提取git仓库内容获取数据库凭证。利用Backdrop CMS RCE漏洞获取www-data用户shell。通过用户枚举和bee工具提升权限至root，最终获取root.txt。... 2025-8-10 05:30:27 | 阅读: 16 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com php backdrop bee repository dumper

From 20% to 5%: How Modern ZFS Changed the Free Space Debate ZFS用户过去遵循“存储池容量不超过80%”的规则以避免性能下降和碎片化问题。随着现代ZFS的优化和大容量硬盘的普及，部分资深用户认为这一规则已过时，并建议根据工作负载留5-10%的空闲空间即可。... 2025-8-10 05:28:51 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com zfs allocator acted backup pulled

Day4 Recon: Hunting Hidden Attack Surfaces , using Nmap, Masscan & Dirsearch for Service &… 文章强调服务和目录枚举在网络安全中的重要性，并介绍如何通过Nmap、Masscan和Dirsearch等工具发现隐藏的攻击面，如未受保护的管理面板和配置错误的API。... 2025-8-10 05:27:5 | 阅读: 19 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com uncover unprotected masscan sizewhen ethical

Google Dorks: Unearth Valuable Information with Advanced Searches 开源情报工具Google Dorking通过高级搜索运算符查找隐藏信息，帮助发现因配置错误或漏洞暴露的敏感数据，合法且道德地揭示网络潜在风险。... 2025-8-9 05:36:3 | 阅读: 17 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com dorks dorking security webpage bypass

Single API Key from a Chrome Extension Led to 5.2 Million Exposed Customer Records 作者在探索Chrome扩展时发现某咖啡连锁品牌扩展程序存在IDOR漏洞和不安全API接口，导致敏感凭证暴露。该问题违反了Google政策，在报告后扩展被下架。此案例也反映了Google逐步淘汰Chrome应用的趋势。... 2025-8-9 05:35:27 | 阅读: 66 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com chrome coffee developer idor

Single API Key from a Chrome Extension Led to 5.2 Million Exposed Customer Records 文章描述了一个Chrome扩展的安全漏洞案例：该扩展因暴露不安全API和硬编码密钥导致潜在数据泄露风险。通过负责任的披露，问题得以及时解决，保护了数百万用户的数据安全。... 2025-8-9 05:35:27 | 阅读: 199 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com chrome coffee commost planned

So You Wanna Hack 64-bit Binaries? 文章为64位二进制漏洞利用新手提供指南，解释基础概念如寄存器、栈帧、ROP和ASLR，并通过比喻帮助理解。强调无需专业知识，重点在于分析已编译程序的行为异常，并提供解决方案。... 2025-8-9 05:34:14 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com cake behaves seatbelt stuck bicycle

Need a Reset | Bugcrowd CTF 2025 文章描述了一个简单的CTF挑战，目标是获得系统管理员权限。作者通过检查页面内容或点击按钮成功获取了管理员访问权限。... 2025-8-9 05:33:55 | 阅读: 16 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com simplest sizeneed freee bugcrowd ups

Over Bank | Bugcrowd CTF 2025 这篇文章讨论了如何在银行系统中通过特定操作使账户余额变为负数，目标是通过添加正数金额来实现这一目标，并详细介绍了相关挑战和解决方法。... 2025-8-9 05:33:50 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com freeee eee bankread pagepress pageon

Poisoning the web: Ultimate guide to the web cache poisoning 文章讨论了Web缓存中毒攻击的概念及其潜在影响。通过分析常见漏洞、测试方法及防御措施，揭示了如何利用未正确处理的请求头或参数注入恶意内容，并介绍了检测工具如Param Miner和WCVS等。同时强调了正确配置缓存键的重要性以防止此类攻击。... 2025-8-9 05:33:40 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com poisoning caching proxy attacker burp

Think Fast: How Auto-Complete Suggested Me Passwords That Weren’t Mine ᾒf 作者通过工具组合进行大规模信息收集时发现一个配置错误的表单和GraphQL端点导致浏览器泄露其他用户密码。... 2025-8-9 05:33:25 | 阅读: 197 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com forgotten passwords silver ended combo

Think Fast: How Auto-Complete Suggested Me Passwords That Weren’t Mine ᾒf 作者通过工具发现一个配置错误的表单和GraphQL端点,导致浏览器泄露其他用户的密码。... 2025-8-9 05:33:25 | 阅读: 67 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com passwords forgotten knows perplexity burp

Understanding CSRF and How to Prevent It in Your Application — Part 1 文章解释了跨站请求伪造（CSRF）攻击的工作原理：利用浏览器自动附带认证信息（如会话cookie）和服务器无法区分请求来源的特点，在用户不知情的情况下执行恶意操作（如银行转账）。... 2025-8-9 05:33:8 | 阅读: 18 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com attacker alice username phishing