OIDC: The Fellowship of the Token (Part III) 文章探讨了身份验证中的令牌机制及其分类。令牌分为服务器依赖型和自包含型，前者如不透明令牌（如游乐场手环），需后端解析；后者如JWT，在令牌中携带所有必要信息。... 2025-6-6 05:11:47 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com baggins scream bearer recognize barcode

How I Hacked 100+ Accounts Using Just XSS 文章描述了一次通过反射型跨站脚本（RXSS）漏洞攻击大型博客平台子域名jp.redacted.com的过程，利用Base64编码绕过过滤机制，成功窃取了100多个用户账户的cookie。... 2025-6-6 05:11:19 | 阅读: 9 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com jp blogging rxss ato againusing

How I Hacked 100+ Accounts Using Just XSS 安全研究人员通过发现一个反射型跨站脚本（RXSS）漏洞，在一家大型博客平台上利用Base64编码绕过过滤机制，成功窃取了100多个用户账户。... 2025-6-6 05:11:19 | 阅读: 7 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com jp stood paramspider bypassed happenedit

Part 3: How to Become a Pentester in 2025:Practical Practice: Labs & CTFs 文章分享了通过Hack The Box平台和TJ Null列表系统学习渗透测试的经验，强调实践和结构化训练的重要性。... 2025-6-6 05:10:15 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com tj boxes roadmap retired pentester

The “Unlimited Leave” Hack I Found at My College 一位大学生通过修改学校系统VTOP中的外出申请ID发现了一个严重的安全漏洞（IDOR），能够绕过审批流程访问他人通行证。他负责任地向学校报告并协助修复了问题。... 2025-6-6 05:8:7 | 阅读: 7 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com outing ethical approval passes sensored

The “Unlimited Leave” Hack I Found at My College 一名大学生通过修改URL中的leave ID发现了学校学生portal中的IDOR漏洞，能够绕过导师和宿管审批流程访问其他学生的外出通行证，并负责任地向学校IT团队报告了该漏洞。学校迅速修复了问题。... 2025-6-6 05:8:7 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com outing passes approval ethical sensored

How Simple RECON Earned Me ₹XX,000 at Zerodha 作者通过Shodan搜索发现Zerodha的一个子域名未受Cloudflare保护，导致原IP暴露。该漏洞使攻击者可绕过防护措施进行攻击。作者报告后获得高额赏金，展示了安全配置错误的重要性。... 2025-6-6 05:5:8 | 阅读: 7 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com zerodha security curiosity comolho

How Simple RECON Earned Me ₹XX,000 at Zerodha 研究人员通过Shodan搜索引擎发现Zerodha源IP暴露未受Cloudflare保护,报告后获丰厚赏金,凸显配置错误风险.... 2025-6-6 05:5:8 | 阅读: 9 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com zerodha security curiosity swarnim

SOC AUTOMATION — Part 4 文章描述了如何配置Wazuh代理以监控Sysmon日志，并检测恶意活动如Mimikatz密码转储工具。通过编辑Wazuh配置文件（ossec.conf），指定仅收集Sysmon日志，并备份文件以确保安全。... 2025-6-6 05:3:16 | 阅读: 8 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com ossec sysmon wazuh telemetry windows

How a Welcome Email Can Be Used for Malicious Redirection 文章描述了一次安全评估中发现的开放重定向漏洞，该漏洞存在于欢迎邮件系统中。攻击者可通过篡改androidUrl和iosUrl参数，将用户重定向至恶意网站。修复建议包括验证和过滤这些参数以防止滥用。... 2025-6-6 05:2:58 | 阅读: 6 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com exploring emailpost replaces redirected stumbled

How a Welcome Email Can Be Used for Malicious Redirection 作者在评估中发现欢迎邮件系统存在开放重定向漏洞。攻击者可篡改下载链接中的androidUrl和iosUrl参数，导致用户被重定向至恶意网站。... 2025-6-6 05:2:58 | 阅读: 7 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com malicious replaces closer unintended attackers

A Step-by-Step Plan to Secure Web Backends with XAMPP (Part 1/3) 介绍如何安装和配置XAMPP作为本地开发环境，构建安全的网络应用，并从一开始就预防跨站脚本攻击（XSS）等安全漏洞。... 2025-6-6 05:2:42 | 阅读: 7 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com xampp security thorough malicious

Broken Object Fiesta: How I Used IDOR, No Auth, and a Little Luck to Pull User Data 文章讲述了一位网络安全研究人员在经历生活中的小挫折后，发现了一个严重的身份验证绕过漏洞（IDOR），通过简单的工具和方法成功获取了敏感用户数据的故事。... 2025-6-6 05:1:38 | 阅读: 7 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com subs txtwhile barber

Broken Object Fiesta: How I Used IDOR, No Auth, and a Little Luck to Pull User Data 文章描述了一位安全研究员在测试中发现一个API漏洞的过程,该漏洞允许未认证访问获取敏感用户数据,展示了访问控制的重要性。... 2025-6-6 05:1:38 | 阅读: 11 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com subs scrolling aii tale

Exploring the Dark Web: Myths vs. Reality 暗网是深网的一部分，需特殊工具访问；用途多样包括隐私保护和非法活动；存在风险但非绝对匿名；执法机构监控。... 2025-6-6 05:0:43 | 阅读: 7 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com anonymity criminal illicit silk

️ Inside the 160-Comment Fight to Fix SnakeYAML’s RCE Default 一位安全研究员通过分析 CVE 漏洞 CVE-2022–1471 发现 Java 库 SnakeYAML 存在长达五年的反序列化漏洞。该漏洞允许攻击者通过 YAML 输入执行远程代码。尽管该问题早在 2016 年就被披露，但 SnakeYAML 的维护者最初拒绝修复，认为这是“特性”而非“漏洞”。经过多次沟通和提供实际攻击payload后，研究员最终说服维护者在 SnakeYAML 2.0 中更改默认行为，使其更安全。... 2025-6-5 14:40:15 | 阅读: 13 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com snakeyaml security instantiate github maintainer

When Open Source Isn’t: How OpenRewrite Lost Its Way Moderne公司将开源项目OpenRewrite从Apache 2.0许可证改为专有许可证，违背了开源承诺。这一决定引发了法律风险、社区信任危机，并对开源治理模式造成负面影响。... 2025-6-5 12:29:53 | 阅读: 15 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com moderne openrewrite security recipes proprietary

{CyberDefenders Write-up} Yellow RAT GlobalTech Industries在IT安全检查中发现异常网络流量和搜索重定向现象，确认为Yellow Cockatoo RAT恶意软件感染。该恶意软件使用特定文件名（如111bc461-1ca8-43c6-97ed-911e0e69fdf8.dll）和编译时间为2020-09-24 18:26，并与C2服务器（gogohid[.]com）通信。... 2025-6-5 05:54:19 | 阅读: 14 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com c2 network yellow anwser

How Hackers Help NASA Stay Secure: Inside the NASA VDP NASA通过漏洞披露政策（VDP）邀请道德黑客报告安全漏洞，并提供法律保障和认可。参与者可通过Bugcrowd平台提交问题并获得官方感谢信或名人堂荣誉。该计划旨在提升网络安全并为研究人员提供贡献机会。... 2025-6-5 05:54:11 | 阅读: 12 | 收藏 | Bug Bounty in InfoSec Write-ups on Medium - infosecwriteups.com bugcrowd vdp inclusion dorking

How Hackers Help NASA Stay Secure: Inside the NASA VDP NASA通过漏洞披露政策邀请道德黑客报告安全漏洞，并提供法律保护和认可。例如，Gaurish Bahurupi发现个人信息泄露问题、0xJin识别本地文件包含漏洞、Harish SG利用Drupal CMS漏洞进行远程代码执行等。该计划促进网络安全合作。... 2025-6-5 05:54:11 | 阅读: 11 | 收藏 | InfoSec Write-ups - Medium - infosecwriteups.com bugcrowd vdp dorking outdated