九秒RAM™
群组—常见功能需求调研
新入群验证Bot
@JoinGroupCaptchaBot
新人从入群到完成人机验证解禁
全程不干扰、不打断群组中正常交流讨论
(拒绝扰民,从我做起:屏蔽入群广告,防恶意炸群)
📋Bot功能逻辑
删除出入群通知
新人入群永久禁言
通过群专属入口完成人机验证
用户验证通过后解除对应群组封禁
管理员权限(工作必需)
🈲封禁用户
🗑删除信息
Bot接入使用过程如下
1,进入 @JoinGroupCaptchaBot 通过按钮键盘交互添加Bot到群组
2,群管使用按钮交互添加Bot到群组中后,将获得该群组专属的新人入群自助解禁链接,Copy备用
3,需群主将Bot设置为管理员并给予:消息删除、封禁用户权限
4,群管手动为群组配置一条提示消息:将之前自助解禁链接代入,并提示新人通过该自助人机验证入口完成自我解禁
(自助人机验证过程在Bot中进行,有效期:180秒)
*默认自动放行由群管邀请入群的成员
*私人群组请额外给予生成邀请链接的权限(非必需)
*Bot除响应群管指令外,在群组中将保持静默,故需群管预先通过各自方式告知新人通过链接入口解除自身禁言
(推荐使用:群置顶消息或者其它支持自定义消息内容的迎新Bot)Telegram 6.2.0 更新
媒体编辑器增强
图片、视频编辑可用滤镜、手绘、丰富文本样式
可插入矢量动画贴纸,带有动画贴纸的照片会自动变成GIF
GIF面板升级
GIF加载速度提高
引入近期热门趋势,可查看当天全网热门GIF
通过分类(基于emoji表情)搜索更方便GIF的寻找发送
长按搜索结果中的(GIF)保存到收藏
界面交互
两步验证流程优化(多了个猴头盯着你输密码)
更新明细
https://telegram.org/blog/video-editor-gifs
建议
测试体验后发现:功能特性不完备,稳定性有问题(比以前更容易崩溃退出),建议暂时不升级更新,维持 v6.1.1 版本先用着
媒体编辑器增强
图片、视频编辑可用滤镜、手绘、丰富文本样式
可插入矢量动画贴纸,带有动画贴纸的照片会自动变成GIF
GIF面板升级
GIF加载速度提高
引入近期热门趋势,可查看当天全网热门GIF
通过分类(基于emoji表情)搜索更方便GIF的寻找发送
长按搜索结果中的(GIF)保存到收藏
界面交互
两步验证流程优化(多了个猴头盯着你输密码)
更新明细
https://telegram.org/blog/video-editor-gifs
建议
测试体验后发现:功能特性不完备,稳定性有问题(比以前更容易崩溃退出),建议暂时不升级更新,维持 v6.1.1 版本先用着
CallStranger漏洞
简述:UPnP协议实现存在漏洞,SUBSCRIBE 函数回调可被控制,可利用做数据读取、端口扫描、反射放大(TCP DDoS)
漏洞代号:CVE-2020-12695
影响:几乎现有所有UPnP设备
状态:刚(七小时)公开细节(有PoC)
建议措施
家里路由器检查一下 把UPnP设备(模式)关掉
估摸着过几天这漏洞会被人研究清楚拿去打DDoS
Via: https://callstranger.com/
简述:UPnP协议实现存在漏洞,SUBSCRIBE 函数回调可被控制,可利用做数据读取、端口扫描、反射放大(TCP DDoS)
漏洞代号:CVE-2020-12695
影响:几乎现有所有UPnP设备
状态:刚(七小时)公开细节(有PoC)
建议措施
家里路由器检查一下 把UPnP设备(模式)关掉
估摸着过几天这漏洞会被人研究清楚拿去打DDoS
Via: https://callstranger.com/
TON 官方 testnet2 测试网络即将中断服务
TON官网上通告提示,将在2020年8月1日之前,关闭TON testnet2测试网络
如果需要继续进行TON测试,可查看 FullNode-HOWTO,Validator-HOWTO和TestGrams-HOWTO文档自行部署节点、安装testnet验证器进行TON网络测试
获取测试用Grams的智能合约
小型测试用例(每几分钟产出10到100个)
大型测试用例(每天一次产出10000个Grams)
*消息字符串数受限只贴前五合约
TON官网上通告提示,将在2020年8月1日之前,关闭TON testnet2测试网络
如果需要继续进行TON测试,可查看 FullNode-HOWTO,Validator-HOWTO和TestGrams-HOWTO文档自行部署节点、安装testnet验证器进行TON网络测试
获取测试用Grams的智能合约
小型测试用例(每几分钟产出10到100个)
kf-kkdY_B7p-77TLn2hUhm6QidWrrsl8FYWCIvBMpZKprBtNkf8SYc83pm5JkGt0p3TQRkuiM58O9Cr3waUtR9OoFq716lN-kf-FV4QTxLl-7Ct3E6MqOtMt-RGXMxi27g4I645lw6MTWraVkf_NSzfDJI1A3rOM0GQm7xsoUXHTgmdhN5-OrGD8uwL2JMvQkf8gf1PQy4u2kURl-Gz4LbS29eaN4sVdrVQkPO-JL80VhOe6大型测试用例(每天一次产出10000个Grams)
kf8guqdIbY6kpMykR8WFeVGbZcP2iuBagXfnQuq0rGrxgE04kf9CxReRyaGj0vpSH0gRZkOAitm_yDHvgiMGtmvG-ZTirrMCkf-WXA4CX4lqyVlN4qItlQSWPFIy00NvO2BAydgC4CTeIUmekf8yF4oXfIj7BZgkqXM6VsmDEgCqWVSKECO1pC0LXWl399Vxkf9nNY69S3_heBBSUtpHRhIzjjqY0ChugeqbWcQGtGj-gQxOkf_wUXx-l1Ehw0kfQRgFtWKO07B6WhSqcUQZNyh4Jmj8R4z*消息字符串数受限只贴前五合约
Google Tsunami漏洞扫描器现已开放源代码
Tsunami
Tsunami是具有可扩展插件系统的通用网络安全扫描程序,用于发掘、检测目标网络资产是否存在高危漏洞
基于
nmap >= 7.80
ncrack >= 0.7
目前发布
开发者预览版
Windows、Linux系统可用
地址
https://github.com/google/tsunami-security-scanner
Tsunami
Tsunami是具有可扩展插件系统的通用网络安全扫描程序,用于发掘、检测目标网络资产是否存在高危漏洞
基于
nmap >= 7.80
ncrack >= 0.7
目前发布
开发者预览版
Windows、Linux系统可用
地址
https://github.com/google/tsunami-security-scanner
Windows DNS 服务器远程代码执行漏洞
函数:dns.exe!SigWireRead
漏洞类型:整数溢出导致基于堆的缓冲区溢出
当 Windows 域名系统服务器无法正确处理请求时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在本地系统帐户的上下文中以SYSTEM超管权限运行任意代码
*目前已知影响范围:Windows Server全系列有配置启用 DNS 解析服务端都受此漏洞威胁,系统默认的DNS客户端未受影响
缓解措施
修改注册表限制DNS服务(TCP模式)接收数据包最大长度;
重启DNS服务使生效,命令如下
后续安装补丁的用户
可以将上述 0xFF00 改回默认值 0xFFFF 后重新执行一遍
Via CVE-2020-1350 (微软/中文)
#微软 #Windows #DNS #漏洞 #高危 #RCE
函数:dns.exe!SigWireRead
漏洞类型:整数溢出导致基于堆的缓冲区溢出
当 Windows 域名系统服务器无法正确处理请求时,存在远程执行代码漏洞。成功利用此漏洞的攻击者可以在本地系统帐户的上下文中以SYSTEM超管权限运行任意代码
*目前已知影响范围:Windows Server全系列有配置启用 DNS 解析服务端都受此漏洞威胁,系统默认的DNS客户端未受影响
缓解措施
修改注册表限制DNS服务(TCP模式)接收数据包最大长度;
重启DNS服务使生效,命令如下
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters" /v "TcpReceivePacketSize" /t REG_DWORD /d 0xFF00 /fnet stop DNS && net start DNS后续安装补丁的用户
可以将上述 0xFF00 改回默认值 0xFFFF 后重新执行一遍
Via CVE-2020-1350 (微软/中文)
#微软 #Windows #DNS #漏洞 #高危 #RCE
This media is not supported in your browser
VIEW IN TELEGRAM
Process Monitor(Procmon) for Linux
微软最近发布了Linux版进程监视器(ProcMon),它是一个进程分析辅助工具,方便Linux开发人员跟踪调试系统上程序运行的syscall活动情况
依赖
操作系统 >= Ubuntu 18.04 lts
cmake >= 3.13 (build-time only)
libsqlite3-dev >= 3.22 (build-time only)
Via ProcMon for Linux
微软最近发布了Linux版进程监视器(ProcMon),它是一个进程分析辅助工具,方便Linux开发人员跟踪调试系统上程序运行的syscall活动情况
依赖
操作系统 >= Ubuntu 18.04 lts
cmake >= 3.13 (build-time only)
libsqlite3-dev >= 3.22 (build-time only)
Via ProcMon for Linux
This media is not supported in your browser
VIEW IN TELEGRAM
Telegram 即将上线的特性汇总以及下下个版本功能预告
即将到来的功能特性
•新功能:视频通话功能,可以向打开了视频通话功能的联系人发起视频通话
*想尝鲜体验一下?下载Telegram 6.3.0测试版,进入开发模式启用它
•通知自动静默:激活此设置后,所有非你主动发起的新聊天会话(私聊、群组、频道)都会在通知关闭的情况下自动发送到存档中封存而不会收到通知提示影响会话列表
*此功能一开被拉群组、频道,被私聊骚扰的情况将得到改善
•动态视频头像:可为资料页设置最长十秒的视频,并指定一帧用于其它场景展示为静态头像
•快速问候:附近的人现在会显示离你多远并为每个人随机分配一个表情符号方便互相打招呼发问候
•快速切换头像:现在我们可以在头像历史记录中随意选择一个设置为当前头像,而不再需要每次都重新上传
•画中画模式:播放视频时向上滑动可将视频画面快速切换到此模式,向下滑动则将其关闭
•部分UI交互更新:
录制和取消语音消息的交互获得小更新;
音频播放器UI更新(音频控制组件与列表互换位置并固定到底部)现在看起来更像内置了一个音乐播放器;
群聊会话中可长按对方头像进行快捷操作:查看个人资料、打开私聊、 @ TA
•本地缓存上限:客户端将支持配置本地最大缓存上限,达到上限后,将删除旧的媒体资源缓存
*支持限制阶段: 1G,4G,8G,无限(默认)
•群组统计分析:与频道订阅数据分析类似,方便了解群组活跃程度、相关维度具体情况
•频道订阅:频道的订阅列表由新到旧排列显示用户订阅时间
下下下个版本功能预告
Telegram正在考虑在消息会话中实现Stories信息形式的可能性,该形式在Snapchat和Instagram上发布后已被“复制”到许多其他社交网络应用程序中,有希望与新闻聚合器一样,帮助用户找到新的内容来源,Telegram目前很缺信息流这块功能特性
*题图展示部分此特性概念
#更新 #预告 #新功能 #新特性
即将到来的功能特性
•新功能:视频通话功能,可以向打开了视频通话功能的联系人发起视频通话
*想尝鲜体验一下?下载Telegram 6.3.0测试版,进入开发模式启用它
•通知自动静默:激活此设置后,所有非你主动发起的新聊天会话(私聊、群组、频道)都会在通知关闭的情况下自动发送到存档中封存而不会收到通知提示影响会话列表
*此功能一开被拉群组、频道,被私聊骚扰的情况将得到改善
•动态视频头像:可为资料页设置最长十秒的视频,并指定一帧用于其它场景展示为静态头像
•快速问候:附近的人现在会显示离你多远并为每个人随机分配一个表情符号方便互相打招呼发问候
•快速切换头像:现在我们可以在头像历史记录中随意选择一个设置为当前头像,而不再需要每次都重新上传
•画中画模式:播放视频时向上滑动可将视频画面快速切换到此模式,向下滑动则将其关闭
•部分UI交互更新:
录制和取消语音消息的交互获得小更新;
音频播放器UI更新(音频控制组件与列表互换位置并固定到底部)现在看起来更像内置了一个音乐播放器;
群聊会话中可长按对方头像进行快捷操作:查看个人资料、打开私聊、 @ TA
•本地缓存上限:客户端将支持配置本地最大缓存上限,达到上限后,将删除旧的媒体资源缓存
*支持限制阶段: 1G,4G,8G,无限(默认)
•群组统计分析:与频道订阅数据分析类似,方便了解群组活跃程度、相关维度具体情况
•频道订阅:频道的订阅列表由新到旧排列显示用户订阅时间
下下下个版本功能预告
Telegram正在考虑在消息会话中实现Stories信息形式的可能性,该形式在Snapchat和Instagram上发布后已被“复制”到许多其他社交网络应用程序中,有希望与新闻聚合器一样,帮助用户找到新的内容来源,Telegram目前很缺信息流这块功能特性
*题图展示部分此特性概念
#更新 #预告 #新功能 #新特性