Aggregator

2025年6月，印度医疗平台Omnicuris发生数据泄露事件，约20万条医疗专业人士记录被暴露，包括姓名、邮箱、电话号码及地理位置等信息。

文章探讨了跨站脚本（XSS）攻击的原理、危害及防御方法。XSS通过注入恶意脚本在用户浏览器中执行，窃取敏感信息或操控页面。文章重点介绍了存储型XSS攻击及其潜在风险，并强调了对开发者和安全人员的重要性。

Abhijeet Kumawat分享了自己从对漏洞赏金一无所知到成功发现NASA、Sony等平台漏洞的经历，并强调初学者最难的是迈出第一步。为此，他创建了“Bug Bounty from Scratch”系列教程，帮助更多人开启漏洞赏金之旅。

Abhijeet Kumawat分享了自己从怀疑到通过漏洞赏金计划在NASA、Sony等平台发现漏洞的经历，并强调入门是最大的挑战。他创建了"Bug Bounty from Scratch"系列教程，旨在帮助新手系统学习漏洞赏金技术。

在处理SSH、TLS、Kubernetes等场景时,人们常因公私钥对的用途混淆而困惑。本文解释了不同加密工具和格式的应用场景及其背后的原因,并指导如何正确区分和使用这些密钥。

文章介绍了一种基于 Celery 和 Redis 的分布式命令执行系统，用于提升漏洞挖掘效率。该系统通过将任务分发至多个云虚拟机并行执行，显著缩短扫描时间。用户可运行多种工具（如 httpx、nmap）并实时监控任务进度。

文章介绍了一种基于 Celery 和 Redis 的分布式命令执行系统，用于高效处理大规模漏洞挖掘任务。该系统通过主节点分配任务到多个工作节点并行执行，支持运行 httpx、nmap 等工具，显著提升扫描速度和效率。

文章介绍了通过自动化工具寻找信息泄露漏洞（如敏感文件、API密钥）的方法，并强调这些看似低危的漏洞可积累赏金。作者分享了使用subfinder、httpx、ffuf等工具进行子域名发现、目录枚举和服务器配置检查的技巧，建议利用自动化提高效率并持续挖掘潜在漏洞。

文章介绍了如何通过自动化工具发现信息泄露漏洞（如API密钥、配置错误等），并利用这些低级别漏洞积累奖金。作者强调使用subfinder、httpx、ffuf等工具进行扫描和枚举，并结合Python脚本检测敏感信息。这些看似微不足道的漏洞可能带来意外收益。

文章介绍了一种使用Python和pykeepass库暴力破解KeePass 4数据库密码的方法，并创建了一个名为brutalkeepass的工具，支持通过词典文件尝试密码并输出成功后的数据库条目信息。

2025年的漏洞赏金狩猎依赖工具和扫描，但真正有效的漏洞发现源于对应用程序的理解和逻辑分析。作者通过减少自动化工具的使用，专注于探索应用程序的功能和业务逻辑，成功发现了多个关键漏洞。这种方法强调了好奇心、逻辑推理和持续学习的重要性。

赏金猎人依赖工具却忽视逻辑思考；理解应用功能比运行工具更重要；手动探索和好奇心才是关键。

本文介绍了一个名为TheTimeMachine的开源工具，用于漏洞赏金和OSINT任务。提供免费访问链接、安装命令及使用说明，并附有免责声明。

文章介绍了一个名为TheTimeMachine的开源工具，用于辅助漏洞赏金和OSINT工作。该工具通过GitHub提供免费访问，并附带安装指南和帮助命令。

作者通过扫描GitHub仓库中的断链开发了Bash脚本工具github-scanner-local，在漏洞赏金项目中发现了大量未被注意的断链问题，并因此获得了超过2万美元的赏金回报。

作者专注于断链劫持漏洞，在GitHub仓库中利用Bash脚本扫描断链并开发工具github-scanner-local，成功发现大量漏洞并获得超过2万美元的赏金。

文章讨论了通过Windows事件日志检测真实世界威胁的方法,包括钓鱼攻击、RDP利用等常见攻击方式,并强调了初始访问阶段的重要性,如利用钓鱼邮件、USB设备或暴露服务进行入侵。

文章介绍了一种利用ffufai工具通过高级链式技巧赚取漏洞赏金的方法。通过fuzzing技术注入畸形数据，并结合目标指纹收集（如服务器技术栈和框架线索）生成自定义扩展进行安全测试。

作者通过发现一个接受外部URL的POST端点，利用盲SSRF漏洞并通过Gopher协议连接到内部Redis实例。随后，他注入SSH密钥并获得了服务器的root权限。

文章描述了一次漏洞狩猎过程，通过使用工具如subfinder和httpx扫描子域，并利用dirsearch查找隐藏资源，最终发现了一个看似普通的404错误页面背后的潜在安全问题。