☠️ CORS of Destruction: How Misconfigured Origins Let Me Read Everything 失恋后的孤独黑客利用网络工具发现CORS配置错误，成功获取内部数据。... 2025-6-5 05:53:57 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com subs fired gau crawl gave

OSCP Fail? Use TJ Null List & HTB Labs to Pass Your Retake 作者分享了从OSCP失败到成功的心路历程，强调了利用TJ Null盒子和HTB学院进行实战练习的重要性，并通过模拟真实环境最终顺利通过认证。... 2025-6-5 05:53:42 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com oscp htb tj academy gaps

Cracking JWTs: A Bug Bounty Hunting Guide [Part 4] 文章介绍了通过jku头注入绕过JWT认证的漏洞。攻击者可指定恶意JWK集URL伪造令牌，获取管理员权限并删除用户。... 2025-6-5 05:51:44 | 阅读: 11 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com jku jwk attacker attackers kid

Cracking JWTs: A Bug Bounty Hunting Guide [Part 4] 文章描述了通过JWT的jku头注入漏洞进行认证绕过攻击的过程。攻击者利用服务器对jku参数的信任，指定恶意JWK Set URL并伪造令牌以获取管理员权限。该漏洞可能导致严重的安全风险，并强调了严格验证JWK来源的重要性。... 2025-6-5 05:51:44 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com jku jwk kid trusts attackers

Cookie Attributes — More Than Just Name & Value 文章探讨了Cookie的安全性和作用范围，强调Cookie不仅包含名称-值对，还携带关键安全属性以防御常见网络攻击如XSS和CSRF。理解这些属性有助于评估应用程序的安全性。... 2025-6-5 05:51:24 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com scenes security absolutely gaining insight

Cookie Attributes — More Than Just Name & Value 本文探讨了Cookie的安全性和作用域，强调其不仅是简单的名称-值对，还包含关键安全属性以防御常见攻击如XSS和CSRF。... 2025-6-5 05:51:24 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com scenes security movie mechanics halfway

Atomic Red Team Setup on Windows for ATT&CK-Based Adversary Simulation Atomic Red Team是一个基于MITRE ATT&CK框架的开源工具库，用于帮助安全团队测试检测能力并提升防御策略。本文详细介绍了其在Windows系统上的安装配置过程，并强调了负责任使用的重要性。... 2025-6-5 05:50:51 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security windows download github

Shodan Dorks to Find PII Data & Leaks 文章介绍了使用Shodan搜索引擎查找目标公开暴露的个人信息（PII）数据的方法，包括搜索开放目录、包含“password”的页面以及行政界面等技巧。... 2025-6-5 05:50:42 | 阅读: 17 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com gemini imagen 3identifies dorks pii

Shodan Dorks to Find PII Data & Leaks 介绍了使用Shodan搜索引擎查找公开暴露个人身份信息的方法，包括寻找开放目录、搜索包含密码关键词的页面以及发现潜在漏洞的管理界面，帮助漏洞赏金猎人识别目标。... 2025-6-5 05:50:42 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com pii gemini finds

DOM XSS Exploit: Using postMessage and JSON.parse in iframe Attacks 文章描述了一种基于DOM的跨站脚本（XSS）漏洞，利用postMessage API接收数据并通过JSON.parse()解析消息，未验证消息来源或内容，导致潜在的安全风险。... 2025-6-5 05:49:47 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com ethical strictly responsibly crucial involves

Bypassing HackerOne Report Ban Using API Key 安全研究员发现HackerOne平台漏洞,即使账户被禁也能通过创建API密钥绕过限制,成功向沙盒及真实项目提交报告,违反平台信任机制.... 2025-6-5 05:49:31 | 阅读: 11 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com hackerone banned security restriction submitting

Bypassing HackerOne Report Ban Using API Key 安全研究员通过API绕过HackerOne禁令，在受限状态下成功提交报告至沙盒和真实项目，暴露平台信任机制漏洞。... 2025-6-5 05:49:31 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hackerone restriction security banned submitting

When APIs Don’t Check Roles: Broken Authorization in Customer Deletion Endpoint 文章描述了一名安全研究人员发现的API授权漏洞：低权限用户可通过获取JWT令牌访问并删除组织联系人数据。该漏洞绕过了UI层面的权限限制，可能导致严重数据丢失。建议修复措施包括限制高权限操作仅允许管理员执行，并验证JWT令牌关联的角色。... 2025-6-5 05:48:35 | 阅读: 11 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com contacts burp php bearer

SC-200 - MS Security Operations Analyst illustrative notes 本文介绍了Extended Detection and Response (XDR)作为高级威胁检测解决方案，覆盖电子邮件、端点、身份和应用程序，并概述了其在威胁检测、修复及情报共享中的应用。... 2025-6-4 04:19:19 | 阅读: 20 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com readjust flyd revision

Purple Teaming: When Hackers and Defenders Join Forces 文章介绍了“紫队”概念，结合红队（攻击模拟）和蓝队（防御）实时协作，提升网络安全防御能力。通过模拟攻击、实时监测和快速响应，紫队模式优化了传统防御方式的滞后性问题。... 2025-6-4 04:18:59 | 阅读: 17 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com purple teaming security phishing

IDOR allows unauthorized payment hijacking 作者通过渗透测试发现了一个IDOR漏洞，并利用该漏洞实现了支付劫持。在测试过程中，作者尝试了多种攻击方式如SQL注入、ATO等未果后，注意到支付表单中的id参数可被篡改并成功触发漏洞。... 2025-6-4 04:18:35 | 阅读: 17 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com burp hunt finishes storedthen ato

IDOR allows unauthorized payment hijacking 作者通过测试发现了一个IDOR漏洞，并利用该漏洞实现了支付劫持。在测试过程中，作者尝试了多种漏洞检测方法，并最终通过修改支付请求中的id参数成功触发了漏洞。... 2025-6-4 04:18:35 | 阅读: 17 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hunt burp subdomain deception till

How Did I Hack a Website Just by Reading JS Files 文章讲述了一次成功的漏洞挖掘经历。作者最初尝试常规注入攻击未果，转而分析网站JavaScript文件，发现了隐藏的API端点和存储型XSS漏洞。这表明阅读代码是寻找安全问题的有效方法。... 2025-6-4 04:18:22 | 阅读: 25 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com sight remembered telling treasure sightit

How Did I Hack a Website Just by Reading JS Files 文章讲述了一次漏洞赏金狩猎的经历：作者通过阅读JavaScript文件发现了一个Stored XSS漏洞。最初尝试注入XSSayloads未果后，转而分析JS代码找到了隐藏的API端点，并最终发现了漏洞。... 2025-6-4 04:18:22 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com remembered treasure lighthouse nowhere

Top File Read Bug POCs that made $20000 文章介绍了如何通过漏洞赏金狩猎系列发现文件读取漏洞的POC方法，分享了顶级黑客发现的独特高回报POC，并提供了创建测试仓库、配置构建文件和验证行为的具体步骤。... 2025-6-4 04:17:11 | 阅读: 19 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com lgtm pocs gemini testcd ranked