漏洞研究技术博客
whoareme.com 是 Nick Mykhailyshyn 的个人安全研究博客,作者自述为 offensive security engineer、全职漏洞赏金猎人和软件工程师,主要研究 Web 与移动目标、客户端代码逆向、API 挖掘,以及自动化侦察和测试。站点不是传统意义上的网络安全产品,而是面向安全研究人员的技术内容站。
从抓取正文看,博客重点是漏洞披露 writeup。例如一篇文章详细拆解了客户端路径遍历 CSPT 如何被链式利用为任意 PUT/DELETE API 调用,再结合 JavaScript 原型链读取侧问题绕过 2FA,最终实现账户接管。文章不仅给出利用路径,也解释了 Object.hasOwn、Object.create(null)、Map 等修复方式。其“防护类型”并非 WAF、EDR 或漏洞扫描器,而是安全研究与教育内容;“部署方式、管理与告警、集成能力、合规认证”均未见相关信息。
正文没有订阅、付费课程、咨询服务或企业支持说明,也未提及支付方式、SLA、客户支持渠道等。内容看起来可直接阅读,价值主要来自公开研究经验,而不是商业化服务交付。
优点是技术深度较强,案例贴近真实漏洞赏金场景,包含漏洞成因、攻击链、影响和修复建议,适合进阶 AppSec、红队和漏洞赏金人员学习。缺点也很明确:文章数量有限,更新频率不明;内容偏进攻研究,对初学者门槛较高;它不能替代企业安全工具,没有持续监控、告警、报表、工单和合规能力。
适合 Web/API 安全研究员、移动安全研究员、漏洞赏金猎人,以及希望理解真实漏洞链的开发和应用安全团队。中国访问情况抓取文本未提供,需实际测试,标记为未知。若访问不稳定,可参考 PortSwigger Web Security Academy、HackerOne Hacktivity、Project Zero Blog,国内替代内容可看先知社区、FreeBuf 等。
本测评基于公开资料整理,不构成购买建议,请以 whoareme.com 官网实际信息为准。
漏洞赏金与逆向笔记,适合安全学习。
评分明细(分布与用户短评)接入中。当前展示 TG4G 综合评分,数据源自公开测评与用户反馈。