diedromeo/diedromeo

GitHub: diedromeo/diedromeo

进攻性安全工程师的个人主页,汇集 CVE 复现实验、检测工程规则库和紫队安全研究作品集。

Stars: 0 | Forks: 0

# Parth Bhandari · `diedromeo` 应用安全工程师 · AI 安全 · 进攻性安全研究员 ![AppSec](https://img.shields.io/badge/Application_Security-ff2d78?style=flat-square&logo=owasp&logoColor=white) ![Offensive Security](https://img.shields.io/badge/Offensive_Security-00e5ff?style=flat-square&logo=kalilinux&logoColor=white) ![AI Security](https://img.shields.io/badge/AI_Security-9b5de5?style=flat-square&logo=openai&logoColor=white) ![CVE Researcher](https://img.shields.io/badge/CVE_Researcher-ff5f56?style=flat-square&logo=cve&logoColor=white) ![CTF Developer](https://img.shields.io/badge/CTF_Developer-00ff9c?style=flat-square&logo=hackthebox&logoColor=white) ![DevSecOps](https://img.shields.io/badge/DevSecOps-8b949e?style=flat-square&logo=docker&logoColor=white) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE_ATT%26CK-aligned-424242?style=flat-square)
## `whoami` 应用安全工程师,拥有 **3 年经验**,通过渗透测试、安全代码审查、威胁建模和 CI/CD 安全验证来保护 Web 应用程序和 API。我在**键盘的两侧**工作 —— 发现并利用真实漏洞,然后构建检测和修复方案来解决它们。 - 🔴 **进攻性** — Web/API 渗透测试、安全代码审查、威胁建模、PoC 开发。 - 🤖 **AI 安全** — 保护 LLM/AI 应用程序和 pipeline(prompt injection、不安全的工具/exec 使用、模型和数据暴露);请参阅 [Langflow 未授权 RCE 实验环境](https://github.com/diedromeo/CVE-Labs-2025-2026)。 - 🟣 **紫队** — 完整的 攻击 → 检测 → 缓解 → 补丁验证 生命周期。 - 🏗️ **构建者** — [CTF7.com](https://ctf7.com) 联合创始人;为全球学习者社区提供 100 多个挑战环境。 - 📄 已发表的同行评审安全研究员。 ## 🏆 荣誉与披露 - 🛡️ **Microsoft MSRC** — 因负责任地披露安全漏洞而获得致谢。 - 🚀 **名人堂** — 因负责任的漏洞披露而入选 **NASA**、**Coca-Cola** 和 **Monash University**。 - 🐛 **[OpenClaw SSRF 安全公告 — GHSA-mgvr-6gvw-3rgr](https://github.com/openclaw/openclaw/security/advisories/GHSA-mgvr-6gvw-3rgr)** — 负责任地披露了 *"sandbox exec-server 请求可能到达内部网络"*(高危)。 - 🔎 通过 **HackerOne** 和 **Bugcrowd** 负责任地披露了 **15 个以上已验证的漏洞**(身份验证绕过、SSRF、IDOR、XSS、SQLi)。 - 📚 **已发表的研究员** — 关于集成威胁检测平台的同行评审论文([DOI: 10.48175/IJARSCT-15648](https://doi.org/10.48175/IJARSCT-15648))。 - 🥈 **300 多支队伍中的第 2 名**,ESDS Eureka 2024 · 🥇 **冠军**,Technocraft CTF · 👥 创始人,**CyberX Nashik**。 ## 💼 经历 | 角色 | 机构 | 时间 | |------|-----|------| | **安全研究员** | TachyonByte Technologies | 2024 年 6 月 – 至今 | | **联合创始人兼安全内容主管** | [CTF7.com](https://ctf7.com) | 2022 – 至今 | | **漏洞赏金研究员** | HackerOne · Bugcrowd | 2023 年 1 月 – 至今 | | **安全分析师实习生** | Cyber Sanskar | 2023 年 4 月 – 2024 年 2 月 | **认证:** CEH v13 (EC-Council) · Certified AppSec Practitioner (CAP) · Certified Network Security Practitioner (CNSP) · ISEA Cyber Hygiene Practitioner. ## 📦 安全研究作品集 一系列**可复现的、防御导向的**工作 —— 每个仓库都进行了 Docker 化、 包含文档、版本化,并通过了 CI 检查。 | 仓库 | 内容 | 重点 | |------------|------------|-------| | [**CVE-Labs-2025-2026**](https://github.com/diedromeo/CVE-Labs-2025-2026) | 对 6 个 2025–2026 年公开披露的 CVE 的教育性复现 — RCA、攻击流程、Docker 实验环境、PoC、检测、补丁分析 | CVE 研究 · 补丁对比 | | [**Enterprise-CTF-Challenges**](https://github.com/diedromeo/Enterprise-CTF-Challenges) | 基于真实世界漏洞的真实 Docker 化 CTF 挑战,包含动态 flag 和解题说明 | CTF 设计 | | [**Threat-Intel-Playbooks**](https://github.com/diedromeo/Threat-Intel-Playbooks) | 检测工程库:Sigma · Suricata · YARA · Splunk · Sentinel (KQL) · Elastic | 检测工程 | | [**Patch-Diff-Research**](https://github.com/diedromeo/Patch-Diff-Research) | 漏洞版本与修复版本的逆向工程:根本原因、漏洞代码、修复方案及其*有效原因* | 漏洞研究 | | [**Purple-Team-Labs**](https://github.com/diedromeo/Purple-Team-Labs) | 攻击 → 日志 → 检测 → 缓解 → 补丁验证,端到端流程 | 紫队 | | [**Exploit-to-Detection**](https://github.com/diedromeo/Exploit-to-Detection) | 漏洞利用 → 遥测 → 检测 → 事件响应 → 缓解 | 蓝队 / DFIR | ## 🔬 精选 CVE 研究 (2025–2026) 所有条目均链接至其官方 NVD 记录。分析仅供教育目的,并基于公开披露的信息。 | CVE | 产品 | 分类 | 严重程度 | 参考 | |-----|---------|-------|:--------:|-----------| | **CVE-2025-29927** | Next.js | Middleware 授权绕过 | ![9.1](https://img.shields.io/badge/9.1-Critical-ff5f56?style=flat-square) | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-29927) | | **CVE-2025-32433** | Erlang/OTP SSH | 认证前 RCE (通道注入) | ![10.0](https://img.shields.io/badge/10.0-Critical-ff5f56?style=flat-square) | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-32433) | | **CVE-2025-49113** | Roundcube Webmail | 认证后 RCE (PHP 对象注入) | ![9.9](https://img.shields.io/badge/9.9-Critical-ff5f56?style=flat-square) | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-49113) | | **CVE-2025-1974** | Kubernetes ingress-nginx | 未授权 RCE ("IngressNightmare") | ![9.8](https://img.shields.io/badge/9.8-Critical-ff5f56?style=flat-square) | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-1974) | | **CVE-2025-3248** | Langflow (AI/LLM) | 通过 `exec()` 的未授权 RCE — CISA KEV | ![9.8](https://img.shields.io/badge/9.8-Critical-ff5f56?style=flat-square) | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-3248) | | **CVE-2025-24813** | Apache Tomcat | Partial-PUT → 反序列化 RCE | ![9.8](https://img.shields.io/badge/9.8-Critical-ff5f56?style=flat-square) | [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-24813) | 深入分析位于 [**CVE-Labs-2025-2026**](https://github.com/diedromeo/CVE-Labs-2025-2026) (CVE-2025-29927 实验环境已完成并验证)。 ## 🛠️ 技术与工具 **语言** ![Python](https://img.shields.io/badge/Python-3776AB?style=flat-square&logo=python&logoColor=white) ![Bash](https://img.shields.io/badge/Bash-4EAA25?style=flat-square&logo=gnubash&logoColor=white) ![JavaScript](https://img.shields.io/badge/JavaScript-F7DF1E?style=flat-square&logo=javascript&logoColor=black) **进攻与分析** ![Burp Suite](https://img.shields.io/badge/Burp_Suite-FF6633?style=flat-square&logo=burpsuite&logoColor=white) ![Metasploit](https://img.shields.io/badge/Metasploit-2596CD?style=flat-square&logo=metasploit&logoColor=white) ![OWASP ZAP](https://img.shields.io/badge/OWASP_ZAP-00549E?style=flat-square&logo=owasp&logoColor=white) ![Nmap](https://img.shields.io/badge/Nmap-4682B4?style=flat-square) ![Wireshark](https://img.shields.io/badge/Wireshark-1679A7?style=flat-square&logo=wireshark&logoColor=white) ![Ghidra](https://img.shields.io/badge/Ghidra-CF2B27?style=flat-square) **代码安全** ![Semgrep](https://img.shields.io/badge/Semgrep-1B2B34?style=flat-square&logo=semgrep&logoColor=white) ![CodeQL](https://img.shields.io/badge/CodeQL-2088FF?style=flat-square&logo=github&logoColor=white) **检测与 SIEM** ![Sigma](https://img.shields.io/badge/Sigma-2088FF?style=flat-square) ![Suricata](https://img.shields.io/badge/Suricata-EF3B2D?style=flat-square) ![YARA](https://img.shields.io/badge/YARA-004C97?style=flat-square) ![Splunk](https://img.shields.io/badge/Splunk-000000?style=flat-square&logo=splunk&logoColor=white) ![Sentinel](https://img.shields.io/badge/Sentinel_(KQL)-0078D4?style=flat-square&logo=microsoftazure&logoColor=white) ![Elastic](https://img.shields.io/badge/Elastic-005571?style=flat-square&logo=elastic&logoColor=white) **云与 DevSecOps** ![AWS](https://img.shields.io/badge/AWS-232F3E?style=flat-square&logo=amazonwebservices&logoColor=white) ![Docker](https://img.shields.io/badge/Docker-2496ED?style=flat-square&logo=docker&logoColor=white) ![GitHub Actions](https://img.shields.io/badge/GitHub_Actions-2088FF?style=flat-square&logo=githubactions&logoColor=white) ![Linux](https://img.shields.io/badge/Linux-FCC624?style=flat-square&logo=linux&logoColor=black) **框架与标准** ![OWASP Top 10](https://img.shields.io/badge/OWASP_Top_10-000000?style=flat-square&logo=owasp&logoColor=white) ![NIST](https://img.shields.io/badge/NIST-005a9c?style=flat-square) ![CIS](https://img.shields.io/badge/CIS_Controls-6d6e71?style=flat-square) ## 🎓 教育背景 **B.Tech,计算机科学与工程(网络安全)** — Sandip University, Nashik *(预计 2027)* 信息技术文凭 — Mahavir Polytechnic, Nashik ## 🤝 联系方式 [![LinkedIn](https://img.shields.io/badge/LinkedIn-Parth_Bhandari-0A66C2?style=flat-square&logo=linkedin&logoColor=white)](https://in.linkedin.com/in/parth-bhandari) [![Email](https://img.shields.io/badge/Email-parth%40tachyonbyte.com-00e5ff?style=flat-square&logo=maildotru&logoColor=white)](mailto:parth@tachyonbyte.com) [![CTF7](https://img.shields.io/badge/CTF7.com-Training_Platform-00ff9c?style=flat-square&logo=hackthebox&logoColor=white)](https://ctf7.com)
所有内容仅供授权、教育和防御性安全使用。请参阅每个仓库的 SECURITY.md
标签:AI安全, Chat Copilot, CISA项目, DevSecOps, Metaprompt, 上游代理, 个人主页, 应用安全, 数据可视化, 漏洞利用检测, 网络安全, 请求拦截, 逆向工具, 隐私保护