diedromeo/diedromeo
GitHub: diedromeo/diedromeo
进攻性安全工程师的个人主页,汇集 CVE 复现实验、检测工程规则库和紫队安全研究作品集。
Stars: 0 | Forks: 0
# Parth Bhandari · `diedromeo`
应用安全工程师 · AI 安全 · 进攻性安全研究员







## `whoami`
应用安全工程师,拥有 **3 年经验**,通过渗透测试、安全代码审查、威胁建模和 CI/CD 安全验证来保护 Web
应用程序和 API。我在**键盘的两侧**工作 —— 发现并利用真实漏洞,然后构建检测和修复方案来解决它们。
- 🔴 **进攻性** — Web/API 渗透测试、安全代码审查、威胁建模、PoC 开发。
- 🤖 **AI 安全** — 保护 LLM/AI 应用程序和 pipeline(prompt injection、不安全的工具/exec 使用、模型和数据暴露);请参阅 [Langflow 未授权 RCE 实验环境](https://github.com/diedromeo/CVE-Labs-2025-2026)。
- 🟣 **紫队** — 完整的 攻击 → 检测 → 缓解 → 补丁验证 生命周期。
- 🏗️ **构建者** — [CTF7.com](https://ctf7.com) 联合创始人;为全球学习者社区提供 100 多个挑战环境。
- 📄 已发表的同行评审安全研究员。
## 🏆 荣誉与披露
- 🛡️ **Microsoft MSRC** — 因负责任地披露安全漏洞而获得致谢。
- 🚀 **名人堂** — 因负责任的漏洞披露而入选 **NASA**、**Coca-Cola** 和 **Monash University**。
- 🐛 **[OpenClaw SSRF 安全公告 — GHSA-mgvr-6gvw-3rgr](https://github.com/openclaw/openclaw/security/advisories/GHSA-mgvr-6gvw-3rgr)** — 负责任地披露了 *"sandbox exec-server 请求可能到达内部网络"*(高危)。
- 🔎 通过 **HackerOne** 和 **Bugcrowd** 负责任地披露了 **15 个以上已验证的漏洞**(身份验证绕过、SSRF、IDOR、XSS、SQLi)。
- 📚 **已发表的研究员** — 关于集成威胁检测平台的同行评审论文([DOI: 10.48175/IJARSCT-15648](https://doi.org/10.48175/IJARSCT-15648))。
- 🥈 **300 多支队伍中的第 2 名**,ESDS Eureka 2024 · 🥇 **冠军**,Technocraft CTF · 👥 创始人,**CyberX Nashik**。
## 💼 经历
| 角色 | 机构 | 时间 |
|------|-----|------|
| **安全研究员** | TachyonByte Technologies | 2024 年 6 月 – 至今 |
| **联合创始人兼安全内容主管** | [CTF7.com](https://ctf7.com) | 2022 – 至今 |
| **漏洞赏金研究员** | HackerOne · Bugcrowd | 2023 年 1 月 – 至今 |
| **安全分析师实习生** | Cyber Sanskar | 2023 年 4 月 – 2024 年 2 月 |
**认证:** CEH v13 (EC-Council) · Certified AppSec Practitioner (CAP) ·
Certified Network Security Practitioner (CNSP) · ISEA Cyber Hygiene Practitioner.
## 📦 安全研究作品集
一系列**可复现的、防御导向的**工作 —— 每个仓库都进行了 Docker 化、
包含文档、版本化,并通过了 CI 检查。
| 仓库 | 内容 | 重点 |
|------------|------------|-------|
| [**CVE-Labs-2025-2026**](https://github.com/diedromeo/CVE-Labs-2025-2026) | 对 6 个 2025–2026 年公开披露的 CVE 的教育性复现 — RCA、攻击流程、Docker 实验环境、PoC、检测、补丁分析 | CVE 研究 · 补丁对比 |
| [**Enterprise-CTF-Challenges**](https://github.com/diedromeo/Enterprise-CTF-Challenges) | 基于真实世界漏洞的真实 Docker 化 CTF 挑战,包含动态 flag 和解题说明 | CTF 设计 |
| [**Threat-Intel-Playbooks**](https://github.com/diedromeo/Threat-Intel-Playbooks) | 检测工程库:Sigma · Suricata · YARA · Splunk · Sentinel (KQL) · Elastic | 检测工程 |
| [**Patch-Diff-Research**](https://github.com/diedromeo/Patch-Diff-Research) | 漏洞版本与修复版本的逆向工程:根本原因、漏洞代码、修复方案及其*有效原因* | 漏洞研究 |
| [**Purple-Team-Labs**](https://github.com/diedromeo/Purple-Team-Labs) | 攻击 → 日志 → 检测 → 缓解 → 补丁验证,端到端流程 | 紫队 |
| [**Exploit-to-Detection**](https://github.com/diedromeo/Exploit-to-Detection) | 漏洞利用 → 遥测 → 检测 → 事件响应 → 缓解 | 蓝队 / DFIR |
## 🔬 精选 CVE 研究 (2025–2026)
所有条目均链接至其官方 NVD 记录。分析仅供教育目的,并基于公开披露的信息。
| CVE | 产品 | 分类 | 严重程度 | 参考 |
|-----|---------|-------|:--------:|-----------|
| **CVE-2025-29927** | Next.js | Middleware 授权绕过 |  | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-29927) |
| **CVE-2025-32433** | Erlang/OTP SSH | 认证前 RCE (通道注入) |  | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-32433) |
| **CVE-2025-49113** | Roundcube Webmail | 认证后 RCE (PHP 对象注入) |  | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-49113) |
| **CVE-2025-1974** | Kubernetes ingress-nginx | 未授权 RCE ("IngressNightmare") |  | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-1974) |
| **CVE-2025-3248** | Langflow (AI/LLM) | 通过 `exec()` 的未授权 RCE — CISA KEV |  | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-3248) |
| **CVE-2025-24813** | Apache Tomcat | Partial-PUT → 反序列化 RCE |  | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-24813) |
深入分析位于 [**CVE-Labs-2025-2026**](https://github.com/diedromeo/CVE-Labs-2025-2026)
(CVE-2025-29927 实验环境已完成并验证)。
## 🛠️ 技术与工具
**语言**



**进攻与分析**






**代码安全**


**检测与 SIEM**




-0078D4?style=flat-square&logo=microsoftazure&logoColor=white)

**云与 DevSecOps**




**框架与标准**



## 🎓 教育背景
**B.Tech,计算机科学与工程(网络安全)** — Sandip University, Nashik *(预计 2027)*
信息技术文凭 — Mahavir Polytechnic, Nashik
## 🤝 联系方式
[](https://in.linkedin.com/in/parth-bhandari)
[](mailto:parth@tachyonbyte.com)
[](https://ctf7.com)
所有内容仅供授权、教育和防御性安全使用。请参阅每个仓库的
SECURITY.md。
标签:AI安全, Chat Copilot, CISA项目, DevSecOps, Metaprompt, 上游代理, 个人主页, 应用安全, 数据可视化, 漏洞利用检测, 网络安全, 请求拦截, 逆向工具, 隐私保护