Top File Read Bug POCs that made $20000 文章介绍了漏洞赏金狩猎系列教程中如何利用LGTM工具分析代码漏洞的具体步骤，包括创建测试仓库、配置构建文件及启用LGTM分析功能。... 2025-6-4 04:17:11 | 阅读: 16 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com lgtm pocs testecho elite

SOC L1 Alert Triage: TryHackMe 文章介绍了SOC团队处理警报的流程和方法，包括警报的生命周期、分类、优先级排序及处理步骤，并通过实际案例展示了如何分析和判断警报的真假。... 2025-6-4 04:16:53 | 阅读: 21 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com triage github malicious l2 lpt

JWT the Hell?! How Weak Tokens Let Me Become Admin with Just a Text Editor ️ 作者讲述自己通过篡改JWT令牌意外获得admin权限的经历，并详细描述了如何利用这一漏洞实现管理员访问的过程。... 2025-6-4 04:16:38 | 阅读: 17 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com caffeine hey trouble exploited

JWT the Hell?! How Weak Tokens Let Me Become Admin with Just a Text Editor ️ 作者通过自我发现并利用一个逻辑漏洞，在修改JWT令牌后意外获得admin权限，并最终实现远程代码执行（RCE），从而成功"晋升"。... 2025-6-4 04:16:38 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hey caffeine ailife cup

Cybersecurity Interview Questions For Freshers 文章分享了网络安全领域的基础知识、常见面试问题及学习资源推荐，涵盖网络设备、协议、防火墙、加密技术等核心概念，并提供了备考建议和实用工具链接。... 2025-6-4 04:13:49 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security dhcp phishing yt

404 to $4,000: Exposed .git, .env, and Hidden Dev Files via Predictable Paths” 漏洞赏金猎人利用未受保护的隐藏文件（如.git/config、.env等），通过自动化工具寻找这些可能导致源代码泄露、凭证泄露或权限提升的漏洞。文章介绍了如何识别和处理这些潜在的安全风险。... 2025-6-3 05:24:49 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com hunters secrets3 history2 eyes backup

404 to $4,000: Exposed .git, .env, and Hidden Dev Files via Predictable Paths” 漏洞赏金猎人通过发现未受保护的文件和目录（如.git/config、.env等），利用404错误页面获取关键信息。这些隐藏文件可能导致源代码泄露、凭证泄露或权限提升。... 2025-6-3 05:24:49 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hunters traces4 eyes hunt passwords

How One Path Traversal in Grafana Unleashed XSS, Open Redirect and SSRF (CVE-2025–4123) Grafana被发现存在高危漏洞CVE-2025-4123，该漏洞利用客户端路径遍历和开放重定向问题，可引发跨站脚本攻击（XSS），进而导致账户接管。文章详细介绍了漏洞原理、利用方法及修复建议。... 2025-6-3 05:23:45 | 阅读: 14 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com 4123 client security tips sequences

How One Path Traversal in Grafana Unleashed XSS, Open Redirect and SSRF (CVE-2025–4123) Grafana 存在高危漏洞 CVE-2025–4123，结合客户端路径遍历与开放重定向问题，可触发 XSS 攻击并导致账户接管。该漏洞源于前端未正确规范化或清理 URL 路径中的编码序列（如 ../、反斜杠、百分号编码），使攻击者突破预期限制。修复需确保 URL 路径的安全性。... 2025-6-3 05:23:45 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com security client 4123 dashboards frontend

2. Setting Up the Ultimate Hacker’s Lab (Free Tools Only) Abhijeet Kumawat分享成为成功漏洞赏金猎人的方法与工具，在其Medium系列中提供25+篇实用指南和实战技巧。... 2025-6-3 05:23:34 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com mindset abhijeet passionate hall

2. Setting Up the Ultimate Hacker’s Lab (Free Tools Only) Abhijeet Kumawat分享成为成功漏洞赏金猎手的方法，在新系列文章中介绍如何利用免费工具搭建黑客实验室，并涵盖心态、技巧和实战案例。... 2025-6-3 05:23:34 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com mindset passionate posting hall

19 Billion Stolen Passwords?! Here’s Why You Should Care — And How to Beat the Hackers 网络泄露近190亿个密码，其中94%被重复使用，42%为弱密码。专家建议使用密码管理器、启用多因素认证、避免重复使用密码，并警惕短信钓鱼攻击。... 2025-6-3 05:21:24 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com passwords phishing reuse walsh security

Cracking JWTs: A Bug Bounty Hunting Guide [Part 3] 文章描述了一种通过注入不安全的jwk头来绕过JWT认证的方法。攻击者可以伪造令牌并获得管理员权限。具体步骤包括生成RSA密钥对、将公钥嵌入JWT头，并用私钥签名令牌。服务器因信任客户端提供的公钥而被绕过认证。为防止此类攻击，应避免信任token中的密钥，并使用静态密钥集进行验证。... 2025-6-3 05:21:4 | 阅读: 10 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com jwk bypass burp injection

Cracking JWTs: A Bug Bounty Hunting Guide [Part 3] 文章描述了一种通过注入不安全的JWK头来绕过JWT认证的方法。攻击者可以伪造令牌并获得管理员权限。该漏洞利用服务器对客户端提供的公钥的信任，导致身份验证失效。... 2025-6-3 05:21:4 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com jwk bypass burp injection

Webhook Vulnerabilities: Hidden Vulnerabilities in Automation Pipelines 文章探讨了配置错误的webhooks如何引发敏感信息泄露、SSRF攻击及CI/CD管道漏洞，并指出赏金猎人可借此发现并利用这些安全问题。... 2025-6-3 05:19:46 | 阅读: 10 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com webhooks github hunters ssrf

Webhook Vulnerabilities: Hidden Vulnerabilities in Automation Pipelines 文章探讨了CI/CD、Slack和第三方集成中配置错误的webhooks如何导致敏感信息泄露、SSRF攻击及严重漏洞，并通过实际案例展示了赏金猎人如何发现和利用这些问题。... 2025-6-3 05:19:46 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com webhooks github ssrf hunters

The Invisible Bottleneck: How IT Hierarchies Impact Growth 文章探讨了有效IT组织结构的重要性及其对团队管理和业务整合的影响，并分析了一个包含多个层级的IT架构示例。文章指出传统IT层级存在的问题，如角色重叠、部门孤立和创新不足，并提出了优化建议以提升组织效能和战略对齐。... 2025-6-3 05:19:2 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com architect ensuring software cloud development

CSRF: How I gained unauthorized access to Cart 作者通过子域名枚举和漏洞测试尝试访问购物网站的购物车，在未发现SQL注入等漏洞后，利用无CSRF保护的特点生成PoC成功入侵。... 2025-6-3 05:18:52 | 阅读: 10 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com burp hunt engagement pocand subdomain

CSRF: How I gained unauthorized access to Cart 作者通过使用工具进行子域名枚举和漏洞测试后，发现某购物网站购物车页面缺乏CSRF保护，利用Burp Suite生成CSRF POC成功实现未经授权的访问。... 2025-6-3 05:18:52 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com hunt burp engagement finishes scrolled

{CyberDefenders Write-up}OskiCategory: Threat Intel 会计收到名为“Urgent New Order”的邮件后发现PPT文件为恶意软件。通过VirusTotal分析发现该文件创建于2022年9月28日，并与C2服务器http://171.22.28.221通信。该恶意软件使用RC4密钥5329514621441247975720749009解密Base64字符串，并采用MITRE ATT&CK技术T1555.003窃取用户浏览器密码。此外，该软件会在成功窃取数据后5秒内删除自身，并清除C:\ProgramData目录下的DLL文件以掩盖痕迹。... 2025-6-3 05:18:34 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com c2 deletion uncover insight relations