TWe1v3 lab notebook / public edition

A watchboard for targets, workflow stages, and the current state of the CVE research line.

CVE watchboard

把漏洞挖掘从“想做的事情”,推进成持续运行的研究线。

这里后面会逐步承载值得深挖的项目、近期信号、patch diff 候选、watchlist 和简短判断。当前版本先把目标、流程和当前状态立清楚。

CVE Patch Diff Variant Analysis
Workflow

建立 CVE 挖掘工作流

目标池、评分卡、漏洞笔记模板和 disclosure 路径已经开始落地,后续这里会接入更真实的 watchboard 数据。

Current target

Zammad 进入首轮深挖

已完成代码热点初扫与 GHSL 线索收集,下一步围绕 ticket 与授权边界继续下钻。

Workflow

当前工作流不是抽象概念,而是一条要不断循环的研究链。

Target poolPatch diffVariant analysisWrite-upDisclosure

目标池负责筛候选,patch diff 找信号,variant analysis 做扩展验证,最终再沉淀成 write-up 和 disclosure 节奏。

Operating rule

先聚焦少量高价值目标,再把方法做厚。

这页不会把目标池摊得很散。当前策略是先把少量高价值项目吃透,再把方法论复制到更多目标上。

Watch targets
active

Zammad

当前首个实操目标,适合沿 IDOR / ticket ownership / query injection 做深入分析。

watch

Rocket.Chat

业务系统攻击面丰富,适合权限边界与注入类 variant analysis。

watch

Jenkins Plugins

插件生态大,适合做系列化 patch diff 和 permission check 研究。

Latest movement
Workflow

建立 CVE 挖掘工作流

目标池、评分卡、漏洞笔记模板和 disclosure 路径已经开始落地,后续这里会接入更真实的 watchboard 数据。

Current target

Zammad 进入首轮深挖

已完成代码热点初扫与 GHSL 线索收集,下一步围绕 ticket 与授权边界继续下钻。