Web2 安全Web2 Security

TechLinked

• Apple 舊款 iPhone 存在不可修補的硬體漏洞：由 Paradigm Shift 研究團隊發現，漏洞位於 USB 控制器層，可在 iOS 啟動前就取得設備控制權。由於需要實體接觸與有線連接，一般使用者日常風險較低，但手機被竊後就可能成為攻入者的入口。
• META 積極推動聯邦立法以對抗州級訴訟：面對全美超過千件涉及平台縱容犯罪的民事案件，META 選擇透過遊說要求聯邦政府介入、統一管轄，以取代各州分散的訴訟壓力。這是防禦性法律策略，而非從根本解決平台安全問題。
• Waymo 自駕安全問題持續累積：近 4,000 起事故紀錄中包含闖入施工封閉區、駛入水中等嚴重情境，已觸發多次 NHTSA 正式調查與召回。這顯示自駕技術在非結構化環境下仍有系統性弱點。

Naughtysec

• DirtyFrag 機制類似 DirtyPipe，但因無 Race Condition 而不會造成 Kernel 崩潰或觸發 Buffer Overflow，舊版類似漏洞（如 Buckeye 時期）因有競爭條件會導致伺服器變得如 DoS 狀態，DirtyFrag 解決了這個不穩定問題。
• 目標防火牆封鎖了標準 Reverse Shell（PentestMonkey 的 bash/nc 類型），因此必須改用 Chisel 建立 TCP Tunnel，再透過 gsocket 穿透防火牆，而非直接連線。
• gsocket 的 session 具備高度持久性，即使伺服器重啟後連線仍可維持，講者提到曾有 session 存活超過一年，使其成為理想的隱蔽隧道工具。

Cole Mahoney Cybersecurity

• BloodHound 的「Outbound Object Control」是核心突破口：每換一個使用者就立刻回到 BloodHound 查看該帳號對外的 AD 物件控制權，這條鏈式思維決定整個攻擊路線，是橫向移動的核心依據。
• 強制改密碼（ForceChangePassword）是 GenericAll 最快的利用方式：對 Michael、Benjamin 等帳號都直接用 `net rpc password` 改密，比注入 ACE 或其他手法更直接，適合在已控帳號有 GenericAll 的場景快速推進。
• Password Safe 資料庫是隱藏的憑證倉庫：Benjamin 因隸屬 Share Moderators 群組能存取 FTP，其中藏有 `backup.psafe3` 加密資料庫；用 `pwsafe2john` 提取 hash、John 破解 master password 後，即可取出 Emily 的明文密碼。

Bot2Root

• ROT13 解密可借助線上工具快速完成：Bandit Level 11 的密碼以 ROT13 加密，只需將密文貼入 CyberChef 並套用 ROT13 配方，即可還原明文密碼，無需手動運算。
• hexdump 還原是解開 Level 12 的第一步：關卡提供的 data.txt 是一個 hexdump 文字檔，必須先用 `xxd -r` 將其反轉回 binary，才能進行後續解壓縮操作。
• `file` 指令是多層壓縮的導航羅盤：每次解壓縮後必須執行 `file <filename>` 確認當前檔案類型，才能判斷下一步要用 gunzip、bzip2 -d 還是 tar xvf，避免盲目嘗試。

Grow Interns

• IoT 裝置是傳統安全防線的死角：即使伺服器和電腦受到完善保護，一台未受管理的智慧電池或攝影機仍可成為攻擊者直接進入內網的通道，因為這類裝置通常不在傳統安全團隊的可見範圍內。
• NIST ID.AM 要求每台連網裝置都必須納入資產管理：無論裝置多小，都應定義擁有者、硬體類型、版本與資料分類標準，唯有如此才能為每台裝置套用對應的安全控制措施。
• Agentless 架構是 IoT 安全的唯一可行解：由於大多數 IoT 裝置資源受限，無法安裝防毒或端點偵測工具，因此必須改從「保護網路」而非「保護裝置本身」的角度出發，以零信任原則建立外圍防禦。

江峰·奧妙

• 精準釣魚利用情境壓力完成收割
• 詐騙者事先取得受害者的真實訂單資訊，在其忙碌焦慮時發出威脅性訊息，讓大腦走捷徑繞過警覺，迫使受害者在短時間內輸入支付憑證。「處理中請稍候」的轉圈動畫，就是給後台打包信用卡資料爭取的時間差。
• 規模壓倒隱蔽性是核心策略

Beta Virtual Assistance

• AI 讓詐騙信越來越難辨識。 過去可靠的辨識指標（錯字、破英文）已失效，AI 能生成外觀幾乎與真實品牌一致的詐騙信，因此不能再單靠「看起來專不專業」來判斷。
• 寄件者地址是最可靠的識破工具。 即使信件 logo、品牌顏色、內容格式完全仿冒，寄件者地址無法偽裝成官方域名，例如 `admin@inbox.hoxlightsjaguar.com` 絕非 Namecheap 官方。
• 詐騙信刻意觸發情緒反應來讓人失去判斷力。 逾期發票、域名即將到期、帳號將被停用——這些都是設計來引發恐慌與緊迫感，促使用戶在未仔細查核前就採取行動。

Call me Q 我叫Q

• 公開接碼平台是死路：這類平台的號碼已被大量濫用，在 LINE 後台屬高危黑名單，輕則收不到驗證碼，重則注冊即秒封且永久封禁，無申訴機會。
• ClubSIM 的核心競爭力在於極低保號成本：零月租、全球接收短信免費，每 365 天只需購買一次 6 港幣短信套餐即可續期，相比英國 GiffGaff、美國電話卡或大陸三大運營商成本均遠低。
• 實名制反而是護身符：ClubSIM 強制實名制（需護照或港澳通行證）篩掉了黑產，使其號碼在 LINE、Google、OpenAI 等平台的封控白名單中信用評級極高，合規使用帳號極穩定。

DeadOverflow

• DeepSeek 無內容過濾的實用優勢：講者直接將伺服器源碼貼給 DeepSeek 詢問漏洞，DeepSeek 不需要任何提示詞包裝或藉口，直接回應分析結果，這讓滲透測試工作流程更為直接。
• `.includes()` 的型別混淆是核心漏洞：JavaScript 的 `.includes()` 方法同時適用於字串與陣列，但行為不同——對字串是子字串比對，對陣列是嚴格元素比對。當 payload 以陣列形式傳入時，`includes('javascript')` 因找不到完全相符的元素而回傳 `false`，成功繞過過濾。
• 型別信任錯誤是後端驗證的常見盲點：後端假設輸入一定是字串，卻沒有驗證資料型別，導致攻擊者可透過修改 JSON 請求體，將字串換成陣列，使驗證邏輯失效。

§placeholder§

• Bug Bounty 的現實是長期磨練，不是快速獲利。 社群媒體只展示成功案例，真實情況是數個月的學習、無數次報告被拒，初學者若沒有心理準備，很快就會放棄。
• 基礎不牢，工具無用。 跳過 IP、HTTP 請求等基礎概念直接學攻擊工具，等於沒有地基就蓋樓，遇到真實環境的混亂業務邏輯會完全不知所措。
• 策略優於工具：選一種漏洞深挖，而非廣泛涉獵。 選定 SQL Injection、File Upload 或 OTP Bypass 其中一項，徹底理解其原理、觸發條件與常見變形，才能在真實目標上有效發現問題。

Steve Secure

• 手機是最危險的存錢地點：手機上有幾十個 App、連外鏈接，一條惡意連結就能清空錢包，硬體錢包（離線 USB 裝置）讓駭客即使拿到密碼也必須實體持有設備才能動用資產。
• 電郵是所有帳號的主鑰匙：破解電郵等於破解所有綁定服務，富裕投資者會建立一個完全不公開的「幽靈電郵」，只用於資產保護，從不用來註冊任何其他網站。
• SIM Swap 讓簡訊驗證形同虛設：詐騙者可偽裝用戶致電電信商，將號碼轉移至自己的 SIM 卡，此後所有簡訊 OTP 都送到詐騙者手中；改用軟體驗證器（Authenticator App）可完全繞過此攻擊向量。

CyberSapiens

• Authentication vs Authorization 的區別：影片先釐清「身份驗證（Authentication）」與「授權（Authorization）」兩個概念，前者確認你是誰，後者決定你能做什麼，混淆兩者是許多安全漏洞的根源。
• JWT `alg: none` 漏洞：JWT Header 含有 `alg` 欄位指定簽名演算法，若伺服器未強制驗證此欄位，攻擊者可將其設為 `none`，讓伺服器在沒有簽名的情況下接受偽造的 token。
• 批量測試流程：影片展示使用 URL 列表批量送出修改後的請求，透過 HTTP 狀態碼（200/400）快速篩選出存在漏洞的端點，效率優於逐一手動測試。

Tech-Know-G

• 滲透測試的目的是找漏洞、給修補，而非破壞系統。 真實場景中，測試者在取得授權後模擬攻擊者行為，目標是在上線前找出弱點並通知開發團隊修補，而非刻意破壞應用程式。
• 測試前必須徹底理解應用程式業務邏輯與角色權限。 講師強調在動手測試前，要與開發團隊開會，釐清使用者角色（Customer、Support、Admin）、敏感資料範圍、關鍵工作流程及測試範圍（Scope），再製作角色矩陣（Role Matrix）才能有系統地執行授權測試。
• Burp Suite 作為代理（Proxy）可完整攔截與重放 HTTP 流量。 透過 HTTP History 掌握所有請求、使用 Repeater 手動重放與修改參數、再以 Intruder 批次自動化枚舉，是發現 IDOR 等存取控制漏洞的標準操作流程。

Cybersecurity Girl

• 1. 「殺豬盤」是當前最大損失型詐騙
• 詐騙者先以普通交友方式建立關係一至兩個月，再介紹加密貨幣投資平台。初期讓受害者小額獲利並允許提款，建立信任後逐步加大投入，最終以稅費、手續費為由拒絕出金，消失前榨乾受害者資產。
• 2. 職業詐騙鎖定 LinkedIn，要求預先付費是最大警訊

TechSky - Ethical Hacking

• 攻擊不依賴技術漏洞，而是利用「情境合理性」操控信任。 攻擊者複製合法服務的視覺設計（外送確認、交友配對、叫車服務），讓受害者在認知上覺得授權定位是合理的操作，從而自願點擊 Allow。
• 瀏覽器 Geolocation API 本身是合法功能，無法被封鎖，只能靠使用者判斷。 惡意請求與 Google Maps 的合法請求在視覺呈現上完全相同，作業系統層的提示無法區分善意與惡意來源。
• 單次授權可同時洩漏多層資訊。 除精確 GPS 座標外，還會捕獲 IP 位址（可推算 ISP 與大略地區）、作業系統、CPU 核心數、RAM、GPU、螢幕解析度，攻擊者可利用這些資訊規劃後續裝置特定攻擊。

一个狠人

• 封鎖力度已從「節點」升至「機房」與「立法」：過去封的是單一 VPN 節點，現在封的是節點所在機房，同時透過 2026 年《網路犯罪防治法》將翻牆工具使用入罪，並對江蘇外貿企業啟動無整改期限的斷埠執法，讓合法商業場景成為打壓手段。
• AI 驅動的 DPI（深度封包檢測）使舊協議幾乎全滅：天購網關內建「Club AI」流水線，聲稱對 73 種 DPI 規避技術達 94% 識別率；Shadowsocks 因流量「完全隨機」過於顯眼，V2Ray 因「錄音回放漏洞」與雙層 TLS 特徵而相繼失效。
• Reality 協議的核心哲學是「抬價博弈」而非完全隱身：它不建假網站、不申請域名，而是直接借用微軟、Amazon 等大廠的真實 TLS 憑證作為對外呈現，讓防火長城封鎖時必然同時誤傷真實大廠流量，使政治與技術代價高到難以承受。

CsMadeEz

• HTTP 無狀態是認證問題的根源。 每個 HTTP 請求彼此獨立，伺服器沒有記憶，因此每次請求都必須攜帶身份證明，而不同的認證方案本質上是在解決「怎麼每次都証明自己是誰」這個問題。
• Basic Auth 的安全性完全依賴 HTTPS。 Base64 是編碼而非加密，任何人都能解碼；有了 HTTPS 整條連線加密，Base64 內容才不會被截取。它夠簡單、適合 CI/CD 或內部服務，但每次請求都帶帳密，暴露面積大，不適合公開 API。
• JWT 以數學驗簽取代資料庫查詢，但代價是無法即時撤銷。 JWT 的 Signature 由 Header + Payload 加密簽出，任何篡改都會讓驗證失敗；服務器只需運算就能驗證，不用連資料庫，天然橫向擴展。但 token 一旦發出就活在客戶端，即使帳號被盜也要等到過期才失效。

JackEV (Jack8591)

• 越獄本質是硬體層欺騙而非軟體破解：透過焊接在主機板上的自製晶片，讓車輛系統誤以為位置在美國，進而解鎖當地已授權的 FSD 功能，本質上是位置偽造而非逆向工程。
• 離網是必要條件，但代價是版本凍結：必須拔掉車內 SIM 卡以避免被特斯拉後台偵測；代價是 FSD 版本停止更新，而 FSD 至今仍持續修 bug，舊版本潛在風險無法排除。
• 臺灣 FSD 開放時程受法規制約，現階段 AP 已足夠：臺灣跟隨歐盟法規，需等歐洲全境開放後才會跟進，講者建議臺灣用戶現階段使用免費 AP 即可，購買 EAP 或 FSD 的 CP 值不高。

Byte Scorpion

• Google Dorking 是低門檻的高效偵察手段。 使用進階搜尋運算子可找出組織無意間公開的設定檔、備份檔或目錄，不需要主動攻擊即可發現潛在問題。
• 工具輔助驗證是提交前的關鍵步驟。 透過 Seeker V12 收集 IP、位置與裝置資訊，可確認發現的端點是否真實可重現，避免提交無效報告。
• BugCrowd 平台規範了整個揭露流程。 NASA 透過 BugCrowd 管理漏洞回報，研究者須在 scope 限制內測試，並提交含重現步驟、PoC 截圖與影響說明的完整報告，才能被受理。

极客解说

• IDC IP 在主流平台面臨系統性封控：Claude、ChatGPT 等 AI 服務對數據中心 IP 風控嚴格，X、Reddit 會將其判定為機器人，Netflix、PayPal 可能降級甚至封禁帳號，這是使用 VPS 代理的核心痛點。
• 住宅 IP 的本質是 ISP 信任背書：因為住宅 IP 在平台眼中等同於真實家庭用戶，將其插入流量鏈路末端，即可讓目標網站識別到的是家庭 IP 而非機房 IP，從而通過風控。
• S-UI 的出站管理機制讓配置極為簡潔：只需新增一個 SOCKS 協議的出站節點並填入住宅 IP 的位址、端口、帳號密碼，再於路由列表將其設為預設出站，整個代理網路出口即完成切換，無需改動客戶端節點本身。

Shield Spectrum

• 1. 偵察是滲透測試的基礎，工具選擇決定資訊完整度
• TheHarvester、Sherlock、Spiderfoot 各自專注不同輸入（域名、用戶名、IP），透過自動化掃描 100+ 公開資源，能在短時間建立目標的完整數位足跡，這是決定後續攻擊面廣度的關鍵步驟。
• 2. Web 應用測試工具已走向模板化與 AI 驅動

Andrej Karpathy's RSS 订阅清单

• 攻擊具備自我複製機制：每次成功入侵都能竊取維護者的發布憑證，再用來污染該維護者負責的其他專案，使被感染節點呈指數擴張，傳統人工響應速度根本追不上。
• LLM 是這場危機的結構性變數：它同時壓低了「發現漏洞」與「構建複雜攻擊載荷」的門檻——過去需要頂尖高手數週設計的隱匿手法（如將惡意代碼藏進音頻文件），現在 LLM 可能數小時內生成。
• 以發布者身份為核心的信任模型已破產：當開發者本機被攻陷，所謂「可信發布者」的人工確認步驟反而成為攻擊者可操控的環節，平台層面的緩解措施治標不治本。

Luke Gough

• 職缺現實比想像殘酷。 滲透測試看起來光鮮，但職缺稀少且門檻極高，絕大多數職位都要求有實戰經驗，純靠刷課和 CTF 而沒有實際工作背景的人幾乎進不去。
• 攻擊能力的根基是防守思維。 你必須先懂防守方怎麼想、什麼行為會觸發告警、日誌如何記錄，才能設計出有效的攻擊路線；這種知識只能在真實 SOC 環境中累積，課程給不了。
• 藍隊不是繞路，是最短路。 從 SOC 分析師出發，邊工作邊在 Hack the Box 練習紅隊技能，再拿 OSCP，這條路的就業成功率遠超過從頭直攻滲透測試的人。

David Bombal

• IDOR 至今仍是高回報漏洞：只需改 URL 中的數字 ID，即可存取其他用戶資料。Justin 表示三週內仍發現此類漏洞，關鍵在於找到應用程式中鮮少人關注的深層 endpoint。
• Client-side Access Control 形同虛設：瀏覽器 UI 上的 `disabled` 屬性無法阻止伺服器執行操作，只要用 DevTools 移除屬性並送出請求，伺服器若沒有後端驗證，動作就會成功，這類漏洞一週內仍可找到。
• AI 正在重塑 Bug Bounty 生態：AI 降低了撰寫自動化工具的門檻，讓有經驗的獵人能以更大規模操作；Justin 也用 AI 協助理解程式碼結構，進而找到 www.google.com 的 XSS。

JakSec

• 廣度 vs 深度的策略平衡
• 廣度偵測依賴自動化工具掃描大量目標，無需太多手動思考；深度偵測針對單一功能深挖，漏洞價值更高。講者建議不要只鎖定一種漏洞類型，而是分析功能本身可能衍生哪些漏洞類型，這樣反應更快、命中率更高。
• AI 加速 recon 流程

ZACK0X01

• 1. OAuth State 參數缺失可造成帳號綁架
• 應用程式在第三方登入（OAuth）流程中若未正確驗證 `state` 參數（等同 CSRF token），攻擊者可擷取授權回調 URL 並傳送給受害者，使受害者點擊後將攻擊者的社群帳號綁定到受害者帳戶上，進而以攻擊者身份登入。
• 2. QR Code 登入令牌缺乏綁定驗證

Hacker Vlog

• 1. XSS 存在的根本原因是信任鏈破壞
• 伺服器無條件信任使用者輸入（未做驗證），瀏覽器無條件信任伺服器回應（未做過濾），攻擊者正是利用這條「信任鏈」的空隙，把惡意腳本夾帶進正常的請求-回應流程中。
• 2. 程式碼層面的直接漏洞是「缺乏輸出編碼」

Cybertech

• HPE OneView 是資料中心的總控樞紐，一旦淪陷等同整個環境失守。 它統一管理伺服器、儲存、網路，攻擊者取得控制權後可任意讀取、篡改、刪除數據，機密性、完整性、可用性全部歸零。
• 漏洞的可怕之處在於「最高權限 × 最低攻擊難度」的致命組合。 問題根源是一個完全未設身份驗證的 REST API 端點，攻擊者只需送出惡意指令，系統就直接傳給 Runtime ECQ 函數執行，是教科書等級的程式碼注入。
• 從披露到武器化僅需 72 小時，防禦視窗極短。 12 月 16 日越南研究員發現並回報，17 日 HPE 發補丁，19 日漏洞利用程式碼已在 GitHub 公開，1 月 7 日確認野外攻擊——這條時間線說明「慢慢打補丁」在今天根本行不通。

CloudWorld13

• Kali Linux 是專為滲透測試設計的作業系統，預裝數百種安全工具，可透過虛擬機映像快速部署，降低學習與實驗環境的建置門檻。
• 滲透測試遵循「先偵察、後利用」的標準流程，講者以竊賊踩點比喻說明：先蒐集目標資訊（DNS、SSL、SMTP）、再掃描開放埠口找弱點，最後執行漏洞利用——這與 MITRE ATT&CK 框架定義的攻擊鏈高度吻合。
• 工具鏈涵蓋從外部偵察到後滲透的全生命週期，包含 SQLMap（資料庫注入）、Metasploit（漏洞利用）、Mimikatz（憑證竊取）、Aircrack-NG（無線攻擊）等，每一類工具對應企業中實際存在的攻擊面。

JakSec

• IDOR 本質簡單但影響巨大。 攻擊者只需將 API 請求中的唯一識別碼（UID、org ID、account ID）換成其他值，若伺服器未做存取控制驗證即回應，就構成漏洞；正因為操作門檻極低，漏洞卻往往可以讀取私密資料或執行破壞性操作，Bug Bounty 賠付金額相當可觀。
• SSO 整合路徑常成為存取控制盲點。 Mozilla 案例中，原本刪除帳號需要密碼驗證，但 SSO（Google/Facebook/Apple 登入）路徑只需 Email，開發者在整合 SSO 時忘記將刪除端點的驗證邏輯同步更新，造成任何人只要知道他人 Email 即可刪除帳號。
• 非標準端點（如 .json 結尾）容易被掃描工具與 AI 工具忽略存取控制審查。 HackerOne 案例中，因為端點格式特殊，推測使用的掃描或 AI 代碼工具未將其視為需要做存取控制的 REST API 端點，導致 organization_id 參數無驗證。

Tehlan

• Client ID 參數缺乏驗證是入口：修改 Client ID 會觸發 403，但完整移除該參數後伺服器仍回應 200 並建立 Payout Method，代表後端邏輯只對「值不符」做防護，對「參數不存在」完全無處理。
• CORS 錯誤設定使跨站請求成立：伺服器的 Access-Control-Allow-Origin 接受任意來源，且 Cookie 的 SameSite=None，使得從第三方頁面發出的請求能夾帶受害者的 Session，繞過同源政策。
• text/plain 編碼繞過 JSON CSRF 防護：JSON API 通常被認為天然防 CSRF，因為瀏覽器預設不允許跨站發送 application/json。但透過 `<form enctype="text/plain">` 將 JSON Key-Value 包在隱藏欄位中，可讓 POST body 符合 JSON 格式，同時屬於「簡單請求」不觸發 Preflight。

Tyler Ramsbey - Hack Smarter

• 課程以真實 Pen Test 流程為骨架：從客戶接洽 KairosX 平台開始，完整走過準備、測試、回報等階段，讓學員理解實務流程而非只學工具操作。
• 法律文件是課程亮點之一：講者提供自己實際送給客戶的合約範本（MSL、SAO、Statement of Work），並逐條解說意涵，學員可直接下載重用，降低進入合約測試的門檻。
• 工具課程覆蓋 Burpsuite 與 Kaido 雙平台：Burpsuite 著重社群版外掛擴充與 Intruder Fuzzing；Kaido 的 Automate 功能無速率限制，是 Intruder 的有效替代方案。

The CryptoDad

• Global E 資料洩露與 Ledger 的關係：此次事件源於 Ledger 的第三方電商合作夥伴 Global E 系統遭未授權存取，洩露的僅是部分客戶個人資料（姓名、聯絡方式），私鑰、助記詞、韌體與付款資訊均未受影響。Ledger 本身系統未被入侵，但大量仿冒 Ledger 客服的釣魚郵件在事件曝光後數小時內即大量出現。
• 加密貨幣用戶是恆久的釣魚目標，不限於此次洩露：安全專家指出，即使個人資料未在此次洩露中暴露，只要被識別為加密貨幣持有者，就可能成為社交工程攻擊對象。信用卡黑客或其他電商資料洩露同樣能讓攻擊者推斷出潛在受害者，核心原則是：永遠不向任何人透露助記詞。
• 美國加密立法出現具體進展：參議院銀行委員會主席 Tim Scott 宣布將於 1 月 15 日舉行 markup 聽證，針對《負責任金融創新法案》進行條文審議，法案核心爭議之一是是否禁止國會議員利用內線資訊在加密市場獲利。

InfoSec Pat

• 滲透測試需求由實際漏洞驅動：企業在 Active Directory、Web App、雲端、Wi-Fi 等基礎安全控制上仍普遍失守，講者曾在 4 分鐘內透過 Responder 抓取 NTLMv2 hash 並取得 Domain Admin 權限，說明這類職位的現實價值。
• AI 擴大攻擊面，不取代滲透測試師：講者認為 AI 工具的普及會製造更多可被利用的攻擊向量，因此人工滲透測試師的角色反而更關鍵，而非被取代。
• 技能優先於學歷，實作優先於理論：講者自身的滲透測試與攻擊性安全知識全為自學，強調在 2026 年求職時，能展示 Lab 作品、CTF 成果和動手型認證（如 OSCP、CPTS、CAPE）遠比文憑更有說服力。

Cyber Scrilla

• 個資外洩不等於資產外洩，但網釣風險真實存在。 此次洩露的是購物層面的個資，加密錢包與助記詞未受影響，然而掌握姓名、地址、電話的詐騙者能精準發動多管道社交工程攻擊。
• Ledger 的數據洩露並非首次，根本原因在於第三方電商供應鏈安全標準低落。 2020 年 Shopify 平台已發生過類似事件；硬體錢包公司本身安全性高，但其合作的電商物流第三方並不具備同等安全規範，正是駭客的攻擊目標。
• 實體信件網釣是本次最值得警惕的新型攻擊向量。 詐騙者已知道如何偽造 Ledger 官方信件，寄到受害者家中，要求掃描 QR code 或前往假網站輸入 24 個字助記詞。

HackersArsenal

• 基礎決定工具能否真正被使用：大多數初學者直接使用 Nmap、Metasploit、Burp Suite，卻不理解 TCP、DNS、HTTP 封包結構，導致工具失效時無從排錯，因為工具只是對網路邏輯的自動化，不是魔法按鈕。
• Linux 要理解運作而非只會指令：重點在執行權限、服務、網路、使用者、Bash 腳本設計，因為所有滲透工具本質上都是與作業系統互動的程式，懂 Linux 才能理解工具的行為而非盲目執行。
• 密碼學是理解攻擊為何成功或失敗的關鍵：Hashing、對稱/非對稱加密、TLS、憑證讓人理解為什麼 MITM 攻擊有時會失效、為什麼 YouTube 上看起來很簡單的攻擊在真實環境中立刻失敗。

ZACK0X01

• 1. 商業邏輯理解是一切的前提
• 在接觸任何工具之前，必須先弄清楚目標是什麼公司、提供什麼服務。以 Shopify 為例，它是讓商家開店的電商平台，這意味著會有商家帳號、消費者帳號、邀請流程、訂單系統等功能區塊，知道這些才能預判哪裡容易出漏洞。
• 2. 從 Hacktivity 反推測試方向

Medusa

• Web 基礎不可跳過：大多數人急著學漏洞卻跳過 HTTP 原理，但 HTTP 方法、Status Code、Headers（含 Cookie、CORS）是測試漏洞的底層邏輯。同一個漏洞在 GET 不存在但在 POST 存在，不懂這些就不會想到要去測。
• 理解架構才能找漏洞：Client-Server 架構中，凡是從前端傳入的參數都不應被信任，這個思維是 IDOR、SQL Injection、XSS 等漏洞的根源。理解資料如何儲存與查詢、JWT 如何運作、OAuth 流程如何設計，是發現邏輯漏洞的關鍵。
• 工具是手段，理解是核心：Nuclei、SQLmap 等自動化工具要等真正理解漏洞原理後再用；一開始就依賴工具只能短期奏效，無法找到深層漏洞，也無法通過面試或拿到認證。

ZACK0X01

• Token 替換是最核心的測試手法：攔截 Admin 帳號的 API 請求後，將 Session Token 或 Cookie 替換為低權限用戶的憑證再重送，若伺服器未做伺服器端權限驗證，即可以低權限帳號取得 Admin 才能看到的 API 金鑰、組織金鑰、用戶機密資料。
• 存取控制漏洞不只限於「資料」，也包含「功能」：以邀請用戶功能為例，Admin 可以邀請，低權限用戶理應不能；若攔截 Admin 的邀請請求並替換 Token 重送成功，即構成功能層面的 Broken Access Control，危害程度往往更高。
• API 回應中的布林值（Boolean）是重要攻擊面：`paid=false`、`confirmed=false` 等狀態欄位若被前端邏輯直接信任，攻擊者可透過 Burp Suite Repeater 將回應竄改為 `true`，繞過付費或驗證機制，直接存取受限內容。

HackBin

• nmap 資訊蒐集是起點：使用 `-sV -sC -T4 -p-` 全端口掃描，不依賴 OS aggressive scan 也能從 banner 判斷系統為 Ubuntu，此做法在不觸發過多噪音的情況下仍能獲得足夠資訊。
• gobuster 配合大字典枚舉隱藏路徑：靜態首頁無明顯線索時，搭配 `/usr/share/wordlists/dirbuster/big.txt` 強制枚舉，是找到 admin 面板的關鍵步驟，說明黑盒測試中枚舉不可省略。
• Hydra 攻擊 HTTP POST 表單需正確解析欄位名稱：透過瀏覽器 DevTools Network 面板確認請求方式為 POST，再從 Inspect Element 取得 input 欄位的 `name` 屬性（而非 label），才能正確組成 Hydra 的 `http-post-form` 參數，避免因欄位名稱錯誤導致破解失敗。

CyberFlow

• 動手試用才能真正理解工具：光看課程跟著複製指令沒有意義，必須在自己的機器或本地環境實際跑一遍，才能理解為什麼 `-sS` 是 SYN scan、為什麼它不完成 TCP 三次握手，這種理解才是真正的知識。
• 用小專案把工具串成自動化流程：Bug Bounty 實務中需要對大量目標重複執行相同步驟，與其每次手動操作，不如寫一個 Python 腳本，用 SubFinder 蒐集子域名後自動跑 Nmap，結果存檔、睡覺等結果，這樣同時學會了 Python 與資安工具的整合。
• 偵察要按照正確方法論順序執行：初學者常犯的錯是跳步驟，正確流程應是 DNS 偵察 → Nmap 端口掃描 → 服務識別 → 針對性漏洞測試，每步都有其邏輯依據，不能跳過或隨意替換順序。

MR.JAMMER

• Bug Bounty 本質上是不對稱的回報遊戲：可能花 20 小時得零報酬，也可能一個 Broken Access Check 換來 $3,000。新手應把前期目標設定為「學技術」而非「賺錢」，才不會因短期無收益而放棄。
• 深鑽單一漏洞類型比廣撒網更有效：建議從 IDOR 切入，因為它邏輯直觀（將 user_id=100 改為 101 即可測試）、門檻低且獎金潛力高，能最快建立成功經驗與信心。
• 報告品質與漏洞發現同等重要：一份結構清晰的報告（標題、摘要、重現步驟、影響範圍、PoC、修補建議）能加速 triage 流程並提升獎金核發率，這是多數新手忽略的競爭力。

Shreyas Modi

• Bug Bounty 並非撿錢，而是需要系統性技術積累。 許多初學者聽到高額獎金就衝進來，卻忽略了正式平台上已有大量資深駭客競爭，沒有紮實基礎幾乎不可能有收穫。
• 工具只是手段，原理理解才是核心。 學會操作 Burp Suite 或 OWASP ZAP 不等於會挖洞，必須同步理解 HTTP 請求流程、伺服器資料處理方式、以及各類漏洞的成因邏輯。
• OWASP Top 10 是起點，Business Logic 才是進階護城河。 學完常見攻擊類型後，理解特定業務的付款流程、帳號管理邏輯等 Business Logic 漏洞，能讓你在競爭中脫穎而出。

ageixe

• Server Components 的便利性同時帶來了攻擊面：React 19 讓元件在伺服器端運行以加快效能，但因為對輸入資料的型別檢查不夠嚴謹，Server Actions 的入口點暴露在外，只要開啟 RSC 功能即可被利用。
• 滿分 10.0 的 RCE 漏洞是此次核心威脅：CVE-2025-55182 允許攻擊者不需任何憑證，僅透過構造特殊封包即可在遠端伺服器上執行任意指令，是漏洞等級中最高危的類型。
• 漏洞修補是迭代過程，初次修補並不完整：DoS 漏洞（CVE-2025-55184）最初修補後仍有殘留，後來以 CVE-2025-6777 的形式再次被揭露並徹底修復，說明安全修補需要多輪驗證。