#日常 昨天看了一下某个人作软件,这个软件存在两个权益,是通过服务器获取的,通过抓包可以看到其内容,有个 sign 字段对服务器传回的 data 进行合法性校验,看着像 AES 证书签。本来打算看看能不能搞定它的 sign 校验逻辑顺带直接从逻辑层面把两个权益给拿下的,但是搞了半天搞不定,技术不到家,但是拿到了 sign 的原文组合方式。
后面尝试搜索证书的位置,一开始在 dll 里面找有没有硬编码,发现没有,开始搜索所有文件内容,发现其证书是在文件直接保存的,所以可以直接替换,于是在哈基米的帮助下做了一个用 MITMProxy 拦截并修改请求的启动器,成功拦截了登录短信发送、登录请求和权益获取请求,并用 mock 数据返回,于是就成功 get 到了权益(>‿◠)✌️
注:我是有这个软件的权益的,只是想试试而已
题外话:这个软件能看出是 vibe coding 产物,说实话,AI 是真的很不注意安全这一块,我抓包的时候还发现他的短信登录接口没做验证码,可以直接用,奈何小软件,还是跟作者说一下这个问题吧,别让人破费了╮(╯▽╰)╭
后面尝试搜索证书的位置,一开始在 dll 里面找有没有硬编码,发现没有,开始搜索所有文件内容,发现其证书是在文件直接保存的,所以可以直接替换,于是在哈基米的帮助下做了一个用 MITMProxy 拦截并修改请求的启动器,成功拦截了登录短信发送、登录请求和权益获取请求,并用 mock 数据返回,于是就成功 get 到了权益(>‿◠)✌️
注:我是有这个软件的权益的,只是想试试而已
题外话:这个软件能看出是 vibe coding 产物,说实话,AI 是真的很不注意安全这一块,我抓包的时候还发现他的短信登录接口没做验证码,可以直接用,奈何小软件,还是跟作者说一下这个问题吧,别让人破费了╮(╯▽╰)╭
Forwarded from Yummy 😋
OpenAI推出Codex for Open Source计划
该计划为开源软件维护者免费提供:
• 6个月的ChatGPT Pro(含Codex)
• 有条件的访问Codex Security
• 用于编码、维护自动化、发布工作流程和核心开源工作的API credits
🔗 开发者需自行申请:https://openai.com/form/codex-for-oss/
🗒 标签: #OpenAI
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
该计划为开源软件维护者免费提供:
• 6个月的ChatGPT Pro(含Codex)
• 有条件的访问Codex Security
• 用于编码、维护自动化、发布工作流程和核心开源工作的API credits
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Yummy 😋
小红书使用level字段判定是否限流,被用户发现后移除了该参数
Level 4 → 正常推荐
Level 2 → 基本正常
Level -1 → 轻度限流
Level -102 → 严重限流(不可逆)
🗒 标签: #小红书
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
Level 4 → 正常推荐
Level 2 → 基本正常
Level -1 → 轻度限流
Level -102 → 严重限流(不可逆)
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Yummy 😋
今日起,Github Student Pack 的 Copilot 权益不再允许用户手动指定使用 GPT-5.4、Claude Opus 等高级模型
https://www.nodeseek.com/post-647430-1
🗒 标签: #GitHub #学生包 #AI
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
https://www.nodeseek.com/post-647430-1
Please open Telegram to view this post
VIEW IN TELEGRAM
#日常
$ uv venv
您本月使用虚拟环境次数还剩 2 次,请升级到 ChatGPT Pro 获取更多使用次数。
$ ruff check
您本月使用静态检查次数还剩 1 次,请升级套餐以获取更多使用次数。
$ uv venv
您本月使用虚拟环境次数还剩 2 次,请升级到 ChatGPT Pro 获取更多使用次数。
$ ruff check
您本月使用静态检查次数还剩 1 次,请升级套餐以获取更多使用次数。
GNT.Channel.name = 开源摸鱼社💤
#日常 大出血了😭
#日常 我才发现是「采购中」,也就是我其实没那么快能拿到 sad
这机子那么 popular 吗?还是说黄牛在后面操盘
这机子那么 popular 吗?还是说黄牛在后面操盘
GNT.Channel.name = 开源摸鱼社💤
#日常 大出血了😭
#日常 今天把我的 Surface 拿去回收了,吃以旧换新补贴
本来预估价(指定回收商是爱回收)是 700 CNY,结果最后出来价格是 740 CNY,震惊,什么时候不压价了
740 CNY 到账后,发现回收补贴的 1000 CNY 没到账,去问了 JD 客服说是要新机签收才能到账
好吧,那只能等着了,还是希望他那边仓库快点到货然后发货给我吧
本来预估价(指定回收商是爱回收)是 700 CNY,结果最后出来价格是 740 CNY,震惊,什么时候不压价了
740 CNY 到账后,发现回收补贴的 1000 CNY 没到账,去问了 JD 客服说是要新机签收才能到账
好吧,那只能等着了,还是希望他那边仓库快点到货然后发货给我吧
#日常 下 Spotify 有个好处,可以听周董的歌
但是没办法把我网易云的歌单同步过来,有些同步过来了也是灰色的
但是没办法把我网易云的歌单同步过来,有些同步过来了也是灰色的
#安全 #CRITICAL
Apifox 供应链攻击,可能导致多个重要凭据泄露
根据文章,可能的泄露凭据有:
Apifox凭据,Git凭据,k8s凭据,ssh凭据等
投毒日期3.4,于3.22恢复
https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
排查方式与缓解措施:检查本地 Apifox 数据目录下的 Network Persistent State 文件是否含有 apifox.it.com,或在 LevelDB 中查找 rl_mc、rl_headers 键值。
Windows 路径:
Windows Scoop 安装:
macOS 路径:
Apifox 供应链攻击,可能导致多个重要凭据泄露
根据文章,可能的泄露凭据有:
Apifox凭据,Git凭据,k8s凭据,ssh凭据等
投毒日期3.4,于3.22恢复
https://rce.moe/2026/03/25/apifox-supply-chain-attack-analysis/
排查方式与缓解措施:检查本地 Apifox 数据目录下的 Network Persistent State 文件是否含有 apifox.it.com,或在 LevelDB 中查找 rl_mc、rl_headers 键值。
Windows 路径:
%APPDATA%\apifox\Network\Network Persistent StateWindows Scoop 安装:
$scoop_root\apps\apifox\current\UserData\Network\Network Persistent StatemacOS 路径:
~/Library/Application Support/Apifox/Local Storage/leveldb