Building An Offensive Security AI Agent — Part 1 文章描述了一个使用LangGraph的ReAct代理构建进攻性安全AI代理的过程。该代理能够分析JavaScript文件以提取隐藏API端点，并检查这些端点是否存在潜在漏洞。作者通过创建一个易受攻击的Web应用来测试其代理，并详细介绍了设计工具、执行流程及初步结果。尽管成功检测到部分敏感数据，但未能覆盖所有漏洞，并计划在未来进行改进以提高检测能力。... 2025-9-24 23:54:4 | 阅读: 26 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com prompts security langgraph jsonify ssn

Parameter Pollution Party: How Duplicate Keys Crashed the API & Spilled All the Secrets 文章讲述了一次HTTP参数污染攻击的实践经历,通过发送重复URL参数成功绕过身份验证,访问内部API并获取隐藏数据,展示了如何利用技术细节发现并利用漏洞。... 2025-9-22 12:57:19 | 阅读: 13 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com coffee spilled morning celebrated boring

Parameter Pollution Party: How Duplicate Keys Crashed the API & Spilled All the Secrets 文章讲述了作者通过HTTP参数污染技术攻击一家大型公司API的经历，利用重复URL参数成功入侵系统，获取了内部API、隐藏数据，并绕过了认证机制。文中详细描述了技术细节和漏洞利用过程。... 2025-9-22 12:57:19 | 阅读: 10 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com coffee spilled uninvited brought morning

Daily Bugle — TryHackMe Walkthrough: Joomla Exploitation & Red Hat Privilege Escalation 文章描述了一个针对Joomla 3.7.0漏洞的渗透测试过程，包括SQL注入、反向shell、SSH登录及Red Hat Linux权限提升，最终获取用户和root权限。... 2025-9-22 12:56:36 | 阅读: 30 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com joomla php reverse sqlmap retrieved

TryHackMe — TechSupp0rt1 Walkthrough | Full Step-by-Step Guide 文章描述了一次针对模拟诈骗网站TechSupport1的渗透测试过程。通过Nmap扫描发现开放服务后，利用SMB枚举获取到包含Subrion CMS和WordPress凭证的文件。解码Subrion密码后发现漏洞并实现远程代码执行（RCE），最终通过权限提升获得root访问权限。... 2025-9-22 12:56:6 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com subrion scamsite wordpress techsupport websvr

AllSignsPoint2Pwnage — TryHackMe Walkthrough 上传PHP反向壳到目标服务器，配置本地监听器并通过HTTP触发反向连接。成功获取用户凭据及密码，并利用PrintSpoofer进行权限提升以获取管理员桌面标志。... 2025-9-22 12:53:28 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com ultravnc xampp htdocs php windows

JWT Warfare: Obfuscation, Cracking, and Red Team Exploits | Cyber Codex 文章介绍了JSON Web Token (JWT) 的基本结构、用途及其潜在的安全风险。JWT由三部分组成：Header、Payload 和 Signature，常用于API认证和会话管理。文章还探讨了JWT的混淆技术、常见攻击方法（如暴力破解HMAC密钥、算法混淆、“none”算法攻击和声明伪造）以及防御措施。... 2025-9-22 12:52:2 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com python payload hs256 prng claims

How I Automated Bulk Email Deletion from Naukri & LinkedIn Using Google Apps Script 每天收到大量垃圾邮件后，作者发现Google Apps Script可自动化清理Gmail中的求职提醒和促销邮件。... 2025-9-22 12:51:27 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com inbox naukri wake unread newsletters

️ Track Every Change: Auditing with Spring Data JPA Spring Data JPA Auditing自动跟踪数据修改记录（创建者、更新者、时间），减少手动操作错误。通过@EnableJpaAuditing启用，并在实体中添加Auditable字段即可实现数据完整性和合规性需求。... 2025-9-22 12:50:59 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com jpa auditapp

Transforming Images into Insights: The Role of OCR in AI Workflows 光学字符识别（OCR）技术将扫描图像、照片或PDF中的文字转换为可编辑和搜索的数字格式，保留文档结构并支持多语言和复杂布局。通过图像处理、模式识别和机器学习实现高精度识别，并与AI结合推动文档智能发展，提升数据处理效率和自动化水平。... 2025-9-20 01:34:12 | 阅读: 16 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com handwritten printed scanned machine accuracy

WannaCry Ransomware: A DFIR & SOC Monitoring Lab Walkthrough 文章介绍了一个免费搭建网络安全家庭实验室的步骤，包括设置Elastic SIEM、配置Sysmon、执行WannaCry勒索软件样本，并进行静态和动态分析。通过使用Autopsy和Volatility进行数字取证，编写KQL检测规则，并结合MITRE ATT&CK框架进行威胁狩猎，帮助读者掌握网络安全分析技能。... 2025-9-20 00:49:17 | 阅读: 23 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com windows wannacry analysis ransomware sysmon

PicoCTF Web Exploitation Walkthrough |GET aHEAD 文章介绍了解决picoCTF中的“GET aHEAD”挑战的过程，属于Web Exploitation类别，难度为Easy。通过探索不同的HTTP方法和检查服务器响应头中的隐藏信息来发现flag。... 2025-9-20 00:47:49 | 阅读: 17 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com picoctf sizepress webpage difficulty walks

How I ‘Hacked’ NASA Without Going to Jail Antonio Rivera作为安全研究员通过手动测试和注入单引号payload发现NASA子域名vuln.nasa.gov中的漏洞，导致网站崩溃并暴露内部配置信息。该漏洞被报告后迅速修复，并获得感谢信。... 2025-9-20 00:45:53 | 阅读: 20 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com lor prowling poking csti simplest

How I ‘Hacked’ NASA Without Going to Jail Antonio Rivera是一名安全研究员和道德黑客。他通过手动测试和探测发现NASA子域名vuln.nasa.gov中的注入漏洞，并成功利用单引号payload触发调试模式，暴露内部配置信息。该漏洞从报告到修复耗时近两个月，并最终获得NASA的感谢信。... 2025-9-20 00:45:53 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com lor overnight foundi usual

The Bug Behind the Delete Button: How I Found a Critical IDOR 安全研究员Antonio在测试Web应用时发现Broken Object Level Authorization（BOLA）漏洞。通过创建多个账户并观察数据流动，在尝试用户删除请求时发现跨账户操作漏洞。此经历强调了手动测试和攻击思维的重要性，并提醒自动化工具可能遗漏问题。... 2025-9-20 00:44:14 | 阅读: 13 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com userdelete mentions miss ordinary hall

The Bug Behind the Delete Button: How I Found a Critical IDOR Antonio Rivera作为安全研究员，在测试一网络应用时发现Broken Object Level Authorization漏洞。他通过创建多个账户并分析请求数据，最终识别出该漏洞，并强调手动测试的重要性。... 2025-9-20 00:44:14 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com userdelete soa2 ethical ordinary caught

Breaking the "KPMG CTF 2025 Hardest Mobile Challenge": A Deep Dive into VaultPass v2 文章描述了作者通过分析VaultPass_v2.apk APK文件，发现Firebase配置错误和硬编码凭证，成功绕过身份验证并获取隐藏的flag的过程。... 2025-9-20 00:41:56 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com firebase database security apk

UART Shell Privilege Escalation - KPMG CTF 2025 Writeup 该挑战要求从UART接口提取flag，需先启用开发者模式以获取权限。通过分析错误提示并测试命令，发现devmode功能可实现权限提升。最终成功读取flag并完成挑战。... 2025-9-20 00:41:35 | 阅读: 12 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com uart developer devmode denied analysisthe

CVE-2025–10585: The Chrome V8 Zero-Day You Need to Patch Today ⚔️️ Google修复了Chrome V8引擎的零日漏洞CVE-2025–10585，该漏洞可能导致远程代码执行。建议用户立即更新浏览器以应对风险。... 2025-9-20 00:39:21 | 阅读: 17 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com chrome 10585 matters linkpress iframes

#1: Command Injection: A Complete Guide. 命令注入是一种安全漏洞，允许攻击者在服务器上执行任意操作系统命令。当应用程序将用户输入直接嵌入系统命令时，攻击者可插入恶意指令，导致潜在风险。... 2025-9-20 00:37:37 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com injection attacker network friendlink whispers