Abdijamaal17/cybersec-portfolio
GitHub: Abdijamaal17/cybersec-portfolio
一个以 MITRE ATT&CK 和 OWASP 为指导的网络安全作品集,解决如何系统化展示漏洞研究与渗透测试能力的问题。
Stars: 0 | Forks: 0
# 网络安全作品集
## whoami
安全研究员,专注于进攻性安全、漏洞赏金和 Web 应用测试。我喜欢发现漏洞、自动化侦察,并理解系统如何被破坏——以及如何修复。
**兴趣:** 进攻性安全、漏洞赏金、CTF 挑战、脚本与自动化
### 工具和技术
## 实际项目
### 漏洞赏金 — Bitstamp (HackerOne)
在 Bitstamp 加密货币交易所进行活跃的漏洞赏金研究。
- 枚举 **64 个子域名** 并映射 **100+ API 端点**
- 发现 **AWS 凭据在归档 URL 中暴露**(严重)
- 识别 **账户数据 API 的 IDOR 漏洞**(高危)
- [完整报告 →](writeups/bitstamp-bug-bounty.md)
### 渗透测试 — FS-Security
灰盒 Web 应用渗透测试,报告共 34 页。
- **SQL 注入 → 根权限**(CVSS 9.8 严重)— 完全数据库和操作系统沦陷
- 存储型 XSS、缺少安全头、详细错误信息
- 向客户交付执行摘要和技术发现
- [完整报告 →](writeups/fs-security-pentest.md)
## 结构
```
├── methodology/ # Security frameworks and testing guides
│ ├── owasp-top-10.md # OWASP Top 10 testing methodology
│ └── mitre-attack.md # MITRE ATT&CK mapping guide
├── writeups/ # Real-world pentests and bug bounty reports
│ ├── bitstamp-bug-bounty.md
│ ├── fs-security-pentest.md
│ └── htb-machine-template.md
├── cheatsheets/ # Quick-reference guides
│ ├── nmap-cheatsheet.md
│ └── burpsuite-cheatsheet.md
├── bug-bounty/ # Automation scripts and report templates
│ ├── scripts/recon.sh
│ ├── scripts/install-tools.sh
│ └── templates/hackerone-report.md
└── README.md
```
## 方法论
| 框架 | 目的 | 状态 |
|------|------|------|
| OWASP Top 10 | Web 应用测试 | 活跃 |
| MITRE ATT&CK | 威胁映射与分析 | 活跃 |
| PTES | 渗透测试工作流程 | 活跃 |
| NIST CSF | 风险管理 | 进行中 |
## 核心技能
- **Web 应用渗透测试** — SQL 注入、XSS、IDOR、身份验证绕过、权限提升
- **漏洞赏金** — 子域名枚举、API 分析、密钥发现、HackerOne 报告
- **网络安全** — 端口扫描(Nmap)、服务枚举、SMB/SSH exploitation
- **脚本编写** — Bash 自动化、Python 工具、JavaScript 分析
- **SIEM 与监控** — Splunk、Wazuh、日志分析、告警关联
- **合规性** — NIS2 指令、CVSS 评分、风险评估框架
## 测试流程
侦察 → 枚举 → 漏洞分析 → 渗透利用 → 后渗透 → 报告
1. **侦察** — OSINT、DNS 枚举、子域名发现、Wayback 爬取
2. **枚举** — 端口扫描、服务指纹识别、目录暴力破解、JS 分析
3. **漏洞分析** — 手动测试与自动化扫描、CVSS 评分
4. **渗透利用** — PoC 开发、受控渗透利用
5. **后渗透** — 权限提升、横向移动、持久化
6. **报告** — 执行摘要、技术发现、修复建议
## 许可证
仅限教育用途。所有测试均在获得明确许可的授权环境中执行。
标签:API安全, AWS凭证泄露, Bash, Bug赏金, Burp Suite, Cloudflare, CMS安全, CTI, HackerOne, JavaScript, JSON输出, MITRE ATT&CK, Nmap, Python, Wireshark, 句柄查看, 子域名枚举, 安全写-up, 安全笔记, 应用安全, 数据可视化, 数据统计, 无后门, 端口扫描, 系统安全, 网络安全, 脚本自动化, 自动化侦察, 虚拟驱动器, 进攻安全, 逆向工具, 隐私保护