aw-junaid/bug-bounty
GitHub: aw-junaid/bug-bounty
一份记录漏洞研究过程与实践的仓库,提供 PoC、自动化侦察与评估方法论。
Stars: 47 | Forks: 13
# Bug Bounty











[](LICENSE)
# 联系我:
## 📑 目录
- [行为准则](#code-of-conduct)
- [许可证](#license)
- [安全](#security)
- [课程](#course)
- [方法论](#methodologies)
- [Web 渗透](#web-penetration)
- [Web 技术](#web-technologies)
- [资源](#resources)
- [速查表](#cheatsheets)
- [模板](#templates)
- [字典](#wordlists)
- [工具](#tools)
- [自动化](#automation)
- [漏洞利用](#exploitation)
- [信息收集](#reconnaissance)
- [实用程序](#utilities)
- [分析文章](#write-ups)
- [2026](#2026)
## 📜 行为准则
**行为准则与社区指南** - 针对本仓库的贡献者和用户的道德行为标准。
- [CODE_OF_CONDUCT](CODE_OF_CONDUCT.md) - 关于尊重协作、负责任披露和道德黑客实践的规则。
## 📄 许可证
**MIT 开源许可证** - 管理本仓库使用、修改和分发的法律条款。
- [LICENSE](LICENSE) - 允许免费使用但需署名的宽松许可证。
## 🔒 安全策略
**漏洞披露与安全指南** - 负责任的披露流程和安全最佳实践。
- [SECURITY](SECURITY.md) - 如何报告安全问题并协调负责任的披露。
## 🎓 课程材料
**Bug Bounty 培训课程** - 从初学者到高级 Bug Bounty 挖掘的结构化学习路径。
- [README](course/README.md) - 课程大纲、先决条件和学习目标。
## 📚 方法论
### 🌐 Web 渗透测试
**核心 Web 漏洞利用技术** - 识别和利用常见 Web 安全漏洞的综合指南。
- [API 安全测试](methodologies/web%20penetration/API%20Penetration.md) - 完整的 API 渗透测试方法论,包括 REST、GraphQL 和 SOAP endpoint。
- [暴力破解攻击](methodologies/web%20penetration/Bruteforcing.md) - 密码喷射、凭证填充和智能暴力破解技术。
- [跨源资源共享漏洞利用](methodologies/web%20penetration/CORS.md) - 绕过 CORS 策略和利用错误配置。
- [CRLF 注入攻击](methodologies/web%20penetration/CRLF%20Injection.md) - HTTP 响应拆分、日志注入和会话操纵。
- [跨站请求伪造](methodologies/web%20penetration/CSRF.md) - 状态更改请求伪造和反 CSRF 绕过技术。
- [点击劫持与 UI 伪装](methodologies/web%20penetration/Clickjacking.md) - 界面欺骗攻击和帧破坏绕过。
- [Web 爬取与模糊测试策略](methodologies/web%20penetration/Crawling%20and%20Fuzzing.md) - 自动化发现隐藏的 endpoint 和参数。
- [DNS 重绑定攻击](methodologies/web%20penetration/DNS%20Rebinding.md) - 使用 DNS 操纵绕过同源策略。
- [不安全的反序列化](methodologies/web%20penetration/Deserialization.md) - 利用 Java、PHP、Python 和 Ruby 反序列化漏洞。
- [电子邮件攻击向量](methodologies/web%20penetration/Email%20Attacks.md) - SMTP 注入、电子邮件欺骗和网络钓鱼技术。
- [失效链接利用](methodologies/web%20penetration/Exploit%20Broken%20Links.md) - 查找并利用悬挂标记 (dangling markup) 和失效引用。
- [竞态条件漏洞利用](methodologies/web%20penetration/Exploiting%20Race%20Conditions.md) - 检查时到使用时 (TOCTOU) 漏洞和并发问题。
- [文件上传漏洞利用](methodologies/web%20penetration/File%20Upload%20Vulnerabilities.md) - 绕过验证、Web Shell 和通过上传实现 RCE。
- [GraphQL 安全测试](methodologies/web%20penetration/GraphQL.md) - 内省查询、基于字段的攻击和批量处理漏洞。
- [HTTP 参数污染](methodologies/web%20penetration/HTTP%20Parameter%20Pollution.md) - 参数覆盖和验证绕过技术。
- [HTTP 请求走私](methodologies/web%20penetration/HTTP%20Request%20Smuggling.md) - Desync 攻击和前端/后端混淆利用。
- [密码哈希破解与分析](methodologies/web%20penetration/Hashes.md) - 识别哈希类型和破解策略。
- [不安全的直接对象引用](methodologies/web%20penetration/IDOR.md) - 通过 ID 操纵进行水平和垂直权限提升。
- [注入攻击精通](methodologies/web%20penetration/Injection%20Exploitation.md) - LDAP、NoSQL、OS 命令和表达式语言注入。
- [本地与远程文件包含](methodologies/web%20penetration/LFI%20and%20RFI.md) - 路径遍历、文件读取和远程代码执行。
- [OAuth 2.0 与 OpenID 漏洞利用](methodologies/web%20penetration/OAuth.md) - 重定向 URI 操纵、代码注入和 token 盗窃。
- [开放重定向漏洞](methodologies/web%20penetration/Open%20Redirect.md) - URL 验证绕过和网络钓鱼杠杆技术。
- [JavaScript 原型污染](methodologies/web%20penetration/Prototype%20Pollution.md) - 导致 RCE 的客户端原型操纵。
- [结构化查询语言注入 (SQLi)](methodologies/web%20penetration/SQL%20Injection.md) - Union、布尔、基于时间的带外 SQL 注入。
- [服务器端请求伪造 (SSRF)](methodologies/web%20penetration/SSRF.md) - 内部网络扫描、云元数据访问和端口探测。
- [服务器端模板注入 (SSTI)](methodologies/web%20penetration/SSTI.md) - 模板引擎利用以在 Jinja2、Twig、Freemarker 中实现 RCE。
- [会话固定攻击](methodologies/web%20penetration/Session%20Fixation.md) - 通过强制会话标识符进行会话劫持。
- [供应链安全攻击](methodologies/web%20penetration/Supply%20Chain%20Attack.md) - 依赖项混淆、名称抢注 (Typosquatting) 和 CI/CD 投毒。
- [标签劫持与反向标签劫持](methodologies/web%20penetration/Tabnabbing.md) - 通过标签导航操纵进行网络钓鱼。
- [虚拟主机发现与利用](methodologies/web%20penetration/VHost.md) - 查找隐藏的 vhost 和配置错误的虚拟主机。
- [Web 缓存欺骗](methodologies/web%20penetration/Web%20Cache%20Deception.md) - 缓存敏感页面和特定于用户的内容。
- [WebSocket 安全测试](methodologies/web%20penetration/WebSocket%20Exploitation.md) - 跨站点 WebSocket 劫持和消息操纵。
- [Web Shell 部署与管理](methodologies/web%20penetration/Webshell.md) - 上传、隐藏和维护基于 Web 的后门。
- [XML 外部实体注入 (XXE)](methodologies/web%20penetration/XXE%20Vulnerabilities.md) - 通过 XML 解析器进行文件泄露、SSRF 和 DoS。
- [Cookie 填充与走私](methodologies/web%20penetration/cookies-padding.md) - 基于 Cookie 的注入和 Padding Oracle 攻击。
- [内容安全策略 (CSP) 绕过](methodologies/web%20penetration/csp.md) - CSP 评估和常见错误配置利用。
- [HTTP 标头注入技术](methodologies/web%20penetration/header-injection.md) - Host 标头、X-Forwarded-For 和自定义标头注入。
- [跨站脚本攻击 (XSS) 精通](methodologies/web%20penetration/xss.md) - 反射型、存储型、基于 DOM 的 XSS 和现代过滤器绕过。
### 💻 Web 技术与基础设施
**特定平台的安全测试** - 针对流行的 Web 框架、服务器和基础设施组件的专门利用技术。
- [ASP.NET 安全评估](methodologies/web%20technologies/ASP.NET.md) - ViewState 反序列化、机器密钥攻击和 IIS 错误配置。
- [Apache Tomcat 漏洞利用指南](methodologies/web%20technologies/Apache%20Tomcat%20Exploitation.md) - Manager 应用暴力破解、JSP 上传和 CVE 利用。
- [CI/CD 流水线安全测试](methodologies/web%20technologies/CI-CD%20Security.md) - Jenkins、GitHub Actions、GitLab CI 错误配置和投毒。
- [ELK Stack 安全评估](methodologies/web%20technologies/ELK%20Stack%20Exploitation.md) - Elasticsearch Groovy 沙箱逃逸和 Kibana 漏洞。
- [通用漏洞利用方法论](methodologies/web%20technologies/Exploitation%20Methodologies.md) - 漏洞利用和权限提升的结构化方法。
- [缓冲区溢出漏洞利用](methodologies/web%20technologies/Exploiting%20Buffer%20Overflows.md) - 基于栈、基于堆和 ROP 链利用。
- [命令与控制 (C2) 框架利用](methodologies/web%20technologies/Exploiting%20C2%20Frameworks.md) - Cobalt Strike、Mythic、Covenant 检测与缓解。
- [文件传输协议漏洞利用](methodologies/web%20technologies/File%20Transfer%20Exploitation.md) - FTP、SMB、SCP 数据泄露和枢纽 (pivot) 技术。
- [Firebase 安全测试](methodologies/web%20technologies/Firebase%20Exploitation.md) - 不安全的 Firestore 规则和实时数据库枚举。
- [Firebird 数据库漏洞利用](methodologies/web%20technologies/Firebird%20Database.md) - 数据库错误配置和 Firebird 中的 SQL 注入。
- [Flask 应用程序安全](methodologies/web%20technologies/Flask%20Application%20Security.md) - 调试模式 RCE、模板注入和会话伪造。
- [完整的从侦察到 Root 的方法论](methodologies/web%20technologies/From%20Recon%20to%20Root.md) - 从枚举到域妥协的完整渗透测试生命周期。
- [GitHub 安全与泄露检测](methodologies/web%20technologies/GitHub%20Security.md) - 密钥扫描、工作流投毒和仓库侦察。
- [GitLab 安全测试](methodologies/web%20technologies/GitLab.md) - CI/CD 漏洞利用、Registry 攻击和权限提升。
- [JSON Web Token (JWT) 攻击](methodologies/web%20technologies/JWT.md) - 算法混淆、签名绕过和密钥注入。
- [Jenkins 加固与漏洞利用](methodologies/web%20technologies/Jenkins.md) - Groovy 脚本 RCE、凭证收集和流水线攻击。
- [Joomla CMS 渗透测试](methodologies/web%20technologies/Joomla.md) - 组件漏洞、模板利用和管理员绕过。
- [Linux Kernel 漏洞利用](methodologies/web%20technologies/Linux%20Kernel%20Exploitation.md) - 通过内核漏洞和 LPE 技术进行权限提升。
- [多因素身份验证绕过](methodologies/web%20technologies/MFA-2FA%20Exploitation.md) - MFA 疲劳、绕过代码和会话劫持方法。
- [NoSQL 注入完整指南](methodologies/web%20technologies/NoSQL%20Injection%20Vulnerabilities.md) - MongoDB、CouchDB 运算符注入和 payload 构造。
- [OAuth 2.0 深度漏洞利用](methodologies/web%20technologies/OAuth%20Exploitation.md) - 实现缺陷、重定向 URI 操纵和 token 泄漏。
- [OpenID Connect 安全](methodologies/web%20technologies/Open%20ID%20Connect.md) - ID token 操纵和身份验证绕过技术。
- [权限提升方法](methodologies/web%20technologies/Privilege%20Escalation%20Exploitation.md) - Linux、Windows 和 container 权限提升向量。
- [远程代码执行 (RCE) 技术](methodologies/web%20technologies/Remote%20Code%20Execution.md) - 通过反序列化、注入和文件操作实现 RCE。
- [反向 Shell 精通](methodologies/web%20technologies/Reverse%20Shell%20Exploitation.md) - 单行反向 Shell 和交互式 Shell 升级。
- [SaaS 应用程序安全测试](methodologies/web%20technologies/SaaS%20Security%20Testing.md) - 多租户测试、SSO 绕过和租户隔离攻击。
- [Web 应用程序防火墙 (WAF) 规避](methodologies/web%20technologies/WAF.md) - 绕过 ModSecurity、Cloudflare、AWS WAF 和自定义规则。
- [WebDAV 漏洞利用指南](methodologies/web%20technologies/WebDAV.md) - PUT 方法攻击和 WebDAV 错误配置利用。
- [WordPress 渗透测试](methodologies/web%20technologies/WordPress%20Penetration%20Testing.md) - 插件枚举、主题漏洞利用和管理员接管。
## 📦 资源
### 📋 安全速查表
**漏洞检测快速参考指南** - 包含 payload、命令和检测技术的简明速查表。
- [API 安全测试速查表](resources/cheatsheets/API%20Security.md) - REST、GraphQL 和 SOAP API 测试命令与 payload。
- [ASP.NET 安全参考](resources/cheatsheets/ASP.NET.md) - ViewState 攻击、机器密钥工具和 IIS 绕过。
- [失效链接发现指南](resources/cheatsheets/Broken%20Links.md) - 用于查找悬挂标记 (dangling markup) 和失效引用的工具和模式。
- [暴力破解命令参考]( ) - Hydra、Medusa 和自定义字典生成命令。
- [缓冲区溢出 Payload 指南](resources/cheatsheets/Buffer%20Overflow.md) - 模式创建、偏移量查找和 ROP gadget 列表。
- [CRLF 注入 Payload](resources/cheatsheets/CRLF%20Injection.md) - 常见的 CRLF 序列和日志注入模式。
- [CSRF 测试命令](resources/cheatsheets/CSRF.md) - Token 提取和伪造请求生成技术。
- [点击劫持绕过指南](resources/cheatsheets/Clickjacking.md) - 帧破坏 (Frame buster) 绕过和 UI 伪装模板。
- [命令注入 Payload](resources/cheatsheets/Command%20Injection.md) - OS 命令注入模式和过滤器绕过。
- [Cookie 填充技术](resources/cheatsheets/Cookie%20Padding.md) - 基于 Cookie 的注入和 Padding Oracle 漏洞利用。
- [Web 爬取命令参考](resources/cheatsheets/Crawling.md) - FFUF、GoBuster 和自定义爬虫命令示例。
- [CORS 错误配置漏洞利用](resources/cheatsheets/Cross-Origin%20Resource%20Sharing.md) - 源反射和预检绕过技术。
- [DNS 重绑定攻击模式](resources/cheatsheets/DNS%20Rebinding.md) - DNS 操纵技术和 payload 示例。
- [使用 DavTest 进行 WebDAV 测试](resources/cheatsheets/DavTest.md) - WebDAV 配置扫描和漏洞利用命令。
- [反序列化漏洞利用指南](resources/cheatsheets/Deserialization.md) - Java、PHP、Python gadget 链和 YSOSERIAL 使用。
- [Elasticsearch 漏洞利用](resources/cheatsheets/Elasticsearch.md) - Groovy 脚本执行和数据库转储命令。
- [电子邮件攻击速查表](resources/cheatsheets/Email%20Attacks.md) - SMTP 注入、电子邮件欺骗和网络钓鱼模板。
- [文件传输漏洞利用](resources/cheatsheets/File%20Transfer.md) - 通过 HTTP、DNS 和 ICMP 隧道进行数据泄露。
- [文件上传绕过指南](resources/cheatsheets/File%20Upload.md) - MIME 类型、扩展名和内容验证绕过。
- [Firebase 安全命令](resources/cheatsheets/Firebase%20Security%20Testing.md) - Firestore 枚举和不安全规则检测。
- [Firebird 数据库攻击](resources/cheatsheets/Firebird.md) - SQL 注入和数据库错误配置漏洞利用。
- [Flask 安全测试命令](resources/cheatsheets/Flask%20Security%20Testing.md) - 调试模式 RCE 和会话伪造技术。
- [GitHub 安全命令](resources/cheatsheets/GitHub%20Security.md) - 密钥扫描工具和仓库枚举命令。
- [GitLab 安全参考](resources/cheatsheets/GitLab.md) - CI/CD 漏洞利用和 Registry 攻击命令。
- [GraphQL 渗透测试命令](resources/cheatsheets/GraphQL.md) - 内省查询和批量处理攻击 payload。
- [HTTP 参数污染指南](resources/cheatsheets/HTTP%20Parameter%20Pollution.md) - 参数覆盖和验证绕过模式。
- [HTTP 请求走私 Payload](resources/cheatsheets/HTTP%20Request%20Smuggling.md) - CL.TE、TE.CL 和 TE.TE desync payload。
- [IDOR 发现命令](resources/cheatsheets/Insecure%20Direct%20Object%20References.md) - 参数枚举和 ID 操纵技术。
- [JWT 攻击参考](resources/cheatsheets/JWT.md) - 算法混淆、无算法 (none algorithm) 和密钥注入 payload。
- [Jenkins 漏洞利用命令](resources/cheatsheets/Jenkins.md) - Groovy 脚本 RCE 和凭证收集技术。
- [Joomla 安全测试](resources/cheatsheets/Joomla.md) - 组件枚举和管理员绕过命令。
- [Linux Kernel 漏洞利用参考](resources/cheatsheets/Linux%20Kernel%20Exploits.md) - LPE exploit 编译和执行命令。
- [LFI 和 RFI Payload 指南](resources/cheatsheets/Local%20%26%20Remote%20File%20Inclusion.md) - 路径遍历和远程文件包含模式。
- [MFA/2FA 绕过技术](resources/cheatsheets/MFA-2FA%20Security%20Testing.md) - MFA 疲劳、绕过代码和会话劫持。
- [现代 C2 框架命令](resources/cheatsheets/Modern%20C2%20Frameworks.md) - Cobalt Strike、Mythic 使用与检测。
- [NoSQL 注入 Payload](resources/cheatsheets/NoSQL%20Injection.md) - MongoDB 运算符注入和身份验证绕过。
- [OAuth 2.0 测试指南](resources/cheatsheets/OAuth.md) - 重定向 URI 操纵和授权代码注入。
- [OAuth 1.0 安全参考](resources/cheatsheets/OAuth1.md) - 签名验证和参数注入攻击。
- [OpenID Connect 命令](resources/cheatsheets/Open%20ID%20Connect.md) - ID token 操纵和身份验证绕过。
- [开放重定向 Payload](resources/cheatsheets/Open%20Redirects.md) - URL 验证绕过和重定向链漏洞利用。
- [Payload 生成参考](resources/cheatsheets/Payloads.md) - 常见的反向 Shell、RCE 和注入 payload。
- [权限提升命令](resources/cheatsheets/Privilege%20Escalation.md) - Linux、Windows 和 container LPE 核对清单。
- [原型污染 Payload](resources/cheatsheets/Prototype%20Pollution.md) - 客户端和服务器端原型污染模式。
- [竞态条件测试指南](resources/cheatsheets/Race%20Conditions.md) - Turbo Intruder 脚本和并发请求模式。
- [完整的从侦察到漏洞利用参考](resources/cheatsheets/Reconnaissance%20%26%20Exploitation%20Reference.md) - 从枚举到妥协的完整方法论命令。
- [单行反向 Shell](resources/cheatsheets/Reverse%20Shells.md) - Bash、Python、PHP、PowerShell 反向 Shell 命令。
- [SQL 注入 Payload](resources/cheatsheets/SQL-Injection.md) - Union、布尔、基于时间和带外注入模式。
- [SaaS 安全测试命令](resources/cheatsheets/SaaS%20Security%20Testing%20Guide.md) - 多租户隔离测试和 SSO 绕过。
- [SSRF Payload 参考](resources/cheatsheets/Server-Side%20Request%20Forgery.md) - 云元数据 endpoint 和内部网络探测。
- [SSTI Payload 指南](resources/cheatsheets/Server-Side%20Template%20Injection.md) - Jinja2、Twig、Freemarker RCE payload。
- [会话固定技术](resources/cheatsheets/Session%20Fixation.md) - 会话 ID 注入和劫持方法。
- [供应链攻击命令](resources/cheatsheets/Supply%20Chain%20Attacks.md) - 依赖项混淆和名称抢注 (Typosquatting) 技术。
- [标签劫持漏洞利用](resources/cheatsheets/Tabnabbing.md) - 反向标签劫持 payload 和网络钓鱼模板。
- [Tomcat 安全命令](resources/cheatsheets/Tomcat%20Security%20Testing.md) - Manager 应用暴力破解和 WAR 上传方法。
- [虚拟主机发现指南](resources/cheatsheets/VHosts.md) - VHost 枚举工具和错误配置检测。
- [WAF 绕过技术](resources/cheatsheets/WAFs.md) - Cloudflare、ModSecurity 和 AWS WAF 规避模式。
- [Web 缓存欺骗 Payload](resources/cheatsheets/Web%20Cache%20Deception.md) - 缓存中毒和敏感页面缓存模式。
- [Web 漏洞利用与 C2 命令](resources/cheatsheets/Web%20Exploits%20%26%20C2.md) - Web Shell 部署和 C2 框架使用。
- [WebSocket 安全参考](resources/cheatsheets/Web%20Sockets.md) - 跨站点 WebSocket 劫持和消息注入。
- [Web Shell 命令指南](resources/cheatsheets/Webshells.md) - 流行的 Web Shell 和后门管理技术。
- [WordPress 测试命令](resources/cheatsheets/WordPress%20Penetration%20Testing.md) - WPScan 使用和插件漏洞利用方法。
- [XXE 注入 Payload](resources/cheatsheets/XXE.md) - 通过 XML 外部实体进行文件泄露、SSRF 和 DoS。
- [内容安全策略 (CSP) 指南](resources/cheatsheets/csp.md) - CSP 评估和错误配置检测。
- [哈希识别与破解](resources/cheatsheets/hashes.md) - 哈希类型识别和破解命令。
- [HTTP 标头注入指南](resources/cheatsheets/header-injection.md) - Host 标头和自定义标头注入模式。
- [常见端口参考](resources/cheatsheets/ports.md) - 服务标识和默认端口号。
- [Web 渗透命令](resources/cheatsheets/web-penetration.md) - 合并的 Web 测试命令参考。
- [XSS Payload 速查表](resources/cheatsheets/xss-cheatsheet.md) - 反射型、存储型和基于 DOM 的 XSS payload。
### 📝 报告模板
**专业的 Bug 报告模板** - 用于向 Bug Bounty 计划提交安全漏洞的标准化模板。
- [Bug 报告提交模板](resources/templates/bug-report-template.md) - 包含严重性评估、PoC 和修复指导的结构化格式。
### 📃 字典
**用于发现和模糊测试的定向字典** - 为子域枚举、目录暴力破解和 payload 投递精心挑选的字典。
- [自定义子域枚举字典](resources/wordlists/custom-subdomains.txt) - 用于资产发现的常见子域精选列表。
- [小型目录暴力破解字典](resources/wordlists/directories-small.txt) - 用于快速扫描的紧凑目录模糊测试列表。
- [XSS Payload 集合](resources/wordlists/xss-payloads.txt) - 用于过滤器绕过测试的全面 XSS payload 列表。
## 🛠️ 工具
### ⚙️ 自动化脚本
**Bug Bounty 自动化工作流** - 用于自动化重复任务并简化 Bounty 挖掘的脚本。
- [完整的 Bug Bounty 自动化工作流](tools/automation/bug-bounty-workflow.sh) - 用于自动化侦察、扫描和报告 pipeline 的 Bash 脚本。
- [侦察自动化 Pipeline](tools/automation/recon-automation.yml) - 用于计划资产发现和监控的 GitHub Actions 工作流。
### 💥 漏洞利用工具
**漏洞利用实用程序** - 用于利用特定漏洞类的专门工具。
- [SQL 注入自动化测试器](tools/exploitation/sqli-tester.py) - 用于检测和利用 SQL 注入漏洞的 Python 脚本。
- [跨站脚本攻击 (XSS) 扫描器](tools/exploitation/xss-scanner.py) - 支持基于 DOM 漏洞的自动化 XSS 检测。
### 🔍 侦察工具
**资产发现与枚举实用程序** - 用于映射攻击面和发现隐藏资产的工具。
- [侦察工具文档](tools/reconnaissance/README.md) - 所有侦察工具的设置、配置和使用指南。
- [子域枚举脚本](tools/reconnaissance/subdomain-enum.py) - 使用多种数据源的基于 Python 的子域发现。
- [URL 收集与分析工具](tools/reconnaissance/url-collector.sh) - 用于从各种来源收集和分析 URL 的 Bash 脚本。
### 🔧 实用工具
**测试工作流的辅助实用程序** - 用于 payload 生成和字典管理的支持工具。
- [自定义 Payload 生成器](tools/utilities/payload-generator.py) - 用于创建定向注入 payload 的 Python 脚本。
- [字典合并与去重工具](tools/utilities/wordlist-merger.sh) - 用于合并和清理字典的 Bash 实用程序。
## ✍️ 分析文章
### 📅 2026 分析文章
- [Slack 漏洞分析文章](write-ups/2026/slack.md) - 对 Slack 基础设施中发现的漏洞的详细分析。
### 📖 分析文章索引
- [分析文章仓库索引](write-ups/README.md) - 所有分析文章的完整目录,包含严重性评级和赏金金额。
## 📊 仓库统计信息
| 类别 | 总计 |
|:---------|:-----------:|
| 方法论 - Web 渗透 | 38 |
| 方法论 - Web 技术 | 29 |
| 速查表 | 68 |
| 报告模板 | 1 |
| 字典 | 3 |
| 自动化工具 | 2 |
| 漏洞利用工具 | 2 |
| 侦察工具 | 3 |
| 实用工具 | 2 |
| 分析文章 | 1+ |
## ⚠️ 最终警告
**本仓库包含真实的漏洞利用技术。** 未经许可对系统进行未经授权的使用是根据以下法律的**犯罪行为**:
- 计算机欺诈和滥用法 (CFAA) - 美国
- 计算机滥用法 - 英国
- 全球类似的网络犯罪法律
**使用本仓库即表示您同意:**
- 仅在授权的系统上使用内容
- 在测试前获得书面许可
- 负责任地报告漏洞
* 绝不恶意使用这些技术











[](LICENSE)
# 联系我:
标签:域名收集, 安全研究, 实时处理, 密码管理, 数字取证, 渗透测试, 漏洞复现, 漏洞挖掘, 自动化脚本