Forwarded from 苍穹の下 @blueskyxnblog· SKY的🤡💦日常😅😅😅
X-UI面板地址扫描
截止24.3.30,相关favicon.ico值可在 https://en.fofa.info/ 查询:
Hiddify Panel (https://github.com/hiddify/Hiddify-Manager)
直接搜索:icon_hash="-463605824"
Alireza Panel X-UI (https://github.com/alireza0/x-ui)
直接搜索:icon_hash="632122420"
直接搜索:fid="WAJ/JZ0LJBfI0Sat1v3epw=="
直接搜索:fid="KKklLh/er2mqzO2+oBP+Ow=="
直接搜索:fid="fKXHO3B9QN7KfObXDFEslA=="
Alireza Panel S-UI (https://github.com/alireza0/s-ui)
直接搜索:icon_hash="-1176819779"
直接搜索:fid="sCoSRe/TP2o0QXnjdKzEtw=="
3xui Panel (https://github.com/MHSanaei/3x-ui)
直接搜索:icon_hash="-1940576803"
直接搜索:fid="d/cSbYaUbDLdwUUbAnQ0cQ=="
Marzban Panel (https://github.com/Gozargah/Marzban)
直接搜索:fid="Fr1QAgfIw8vyJUKE6Onmrw=="
直接搜索:body_hash="1953156989"
建议:面板一律设置复杂路径+强密码
截止24.3.30,相关favicon.ico值可在 https://en.fofa.info/ 查询:
Hiddify Panel (https://github.com/hiddify/Hiddify-Manager)
直接搜索:icon_hash="-463605824"
Alireza Panel X-UI (https://github.com/alireza0/x-ui)
直接搜索:icon_hash="632122420"
直接搜索:fid="WAJ/JZ0LJBfI0Sat1v3epw=="
直接搜索:fid="KKklLh/er2mqzO2+oBP+Ow=="
直接搜索:fid="fKXHO3B9QN7KfObXDFEslA=="
Alireza Panel S-UI (https://github.com/alireza0/s-ui)
直接搜索:icon_hash="-1176819779"
直接搜索:fid="sCoSRe/TP2o0QXnjdKzEtw=="
3xui Panel (https://github.com/MHSanaei/3x-ui)
直接搜索:icon_hash="-1940576803"
直接搜索:fid="d/cSbYaUbDLdwUUbAnQ0cQ=="
Marzban Panel (https://github.com/Gozargah/Marzban)
直接搜索:fid="Fr1QAgfIw8vyJUKE6Onmrw=="
直接搜索:body_hash="1953156989"
建议:面板一律设置复杂路径+强密码
FOFA
FOFA Search Engine
FOFA is a Cyberspace search engine. By conducting Cyberspace mapping, it can help researchers or enterprises quickly match network assets, such as vulnerability impact range analysis, application distribution statistics, and application popularity ranking…
Forwarded from 敏感经济信息分享
突发:众议院以 320 票对 91 票通过了 HR 6090——2023 年反犹太主义意识法案,旨在打击大学校园的反犹太主义。
70 名民主党人和 21 名共和党人投了反对票。
70 名民主党人和 21 名共和党人投了反对票。
Telegram Webk 端最新版 XSS/会话劫持 漏洞利用
1.攻击者创建一个机器人 + 迷你应用程序
2.设置迷你应用程序的 URL => https://evil.com/homepage.html
3.该漏洞将托管在攻击者站点的主页
3.1.主页.html
原文地址:
https://medium.com/@pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90
Telegram 补丁发布
https://github.com/morethanwords/tweb/commit/2153ea9878668769faac8dd5931b7e0b96a9f129/src/components/popups/webApp.ts
翻译
https://mp.weixin.qq.com/s/GoYJACmPqy3kc7SObJj6Iw
#好文推荐 #redteam
1.攻击者创建一个机器人 + 迷你应用程序
2.设置迷你应用程序的 URL => https://evil.com/homepage.html
3.该漏洞将托管在攻击者站点的主页
3.1.主页.html
原文地址:
https://medium.com/@pedbap/telegram-web-app-xss-session-hijacking-1-click-95acccdc8d90
Telegram 补丁发布
https://github.com/morethanwords/tweb/commit/2153ea9878668769faac8dd5931b7e0b96a9f129/src/components/popups/webApp.ts
翻译
https://mp.weixin.qq.com/s/GoYJACmPqy3kc7SObJj6Iw
#好文推荐 #redteam
Medium
Telegram Web app XSS/Session Hijacking 1-click
This is the technical write up of a severe vulnerability I reported to Telegram’s Bug Bounty program on March 9th, 2024.
Telegram fixed…
Telegram fixed…
Forwarded from 敏感经济信息分享
继深圳推出“换馨家”商品房“以旧换新”活动后,上海也推出类似活动。
参加“以旧换新”活动的房地产开发企业承诺,在一定期限内,旧房未成功出售的,购房居民可以无条件“退房退款”。
参加“以旧换新”活动的房地产开发企业承诺,在一定期限内,旧房未成功出售的,购房居民可以无条件“退房退款”。
Forwarded from 每日消费电子观察 (septs)
D-Link 家用路由器 DIR-645 老舊漏洞遭殭屍網路 Goldoon 鎖定,遭綁架的設備被用來發動 DDoS 攻擊
https://ithome.com.tw/news/162660
資安業者Fortinet於上個月發現殭屍網路Goldoon攻擊行動,對方鎖定存在已知漏洞CVE-2015-2051的無線路由器DIR-645,並指出這些設備一旦因為具有這些漏洞而遭到入侵,攻擊者可得到完整的控制權,並取得系統資訊,與C2伺服器建立通訊,然後發動DDoS攻擊。
———
2024-04-15 D-Link 停止支援的 NAS 設備,三天內已出現 1 百多起攻擊者嘗試利用的活動
2024-04-08 多款已停止支持的 D-Link NAS 设备被曝高危漏洞
2022-04-12 5 款 D-Link 淘汰型号存在安全风险,推荐用户尽快升级
2018-06-21 D-Link 路由器和调制解调器漏洞正被大规模利用
https://ithome.com.tw/news/162660
資安業者Fortinet於上個月發現殭屍網路Goldoon攻擊行動,對方鎖定存在已知漏洞CVE-2015-2051的無線路由器DIR-645,並指出這些設備一旦因為具有這些漏洞而遭到入侵,攻擊者可得到完整的控制權,並取得系統資訊,與C2伺服器建立通訊,然後發動DDoS攻擊。
———
2024-04-15 D-Link 停止支援的 NAS 設備,三天內已出現 1 百多起攻擊者嘗試利用的活動
2024-04-08 多款已停止支持的 D-Link NAS 设备被曝高危漏洞
2022-04-12 5 款 D-Link 淘汰型号存在安全风险,推荐用户尽快升级
2018-06-21 D-Link 路由器和调制解调器漏洞正被大规模利用
Forwarded from Yummy 😋
苹果发布会倒计时两天,可在YouTue预约直播
https://www.youtube.com/live/f1J38FlDKxo
🗒 标签: #Apple
📢 频道: @GodlyNews1
🤖 投稿: @GodlyNewsBot
https://www.youtube.com/live/f1J38FlDKxo
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Apple Event — May 7, 2024
Watch the special Apple Event to learn about the new iPad Air, now in two sizes, iPad Pro with the next-generation M4 chip, and the first-ever Apple Pencil Pro.
To watch the event interpreted in American Sign Language (ASL), please click here: https://y…
To watch the event interpreted in American Sign Language (ASL), please click here: https://y…
风险提示:
新出的叫VKVM的商家,2C2G “CN2+9929+CMIN2”,机房是Netlab,以大小包分流闻名,建议别买,天上不会掉馅饼,带宽价格都是一分钱一分货的,不可能出现远低于市场正常价格的产品
新出的叫VKVM的商家,2C2G “CN2+9929+CMIN2”,机房是Netlab,以大小包分流闻名,建议别买,天上不会掉馅饼,带宽价格都是一分钱一分货的,不可能出现远低于市场正常价格的产品
Forwarded from 大鸟博客&主机资讯分享
我们独立服务器目前有以下优惠:
Intel Xeon E3-1240
16GB RAM
250GB SSD or 1TB HDD
/30 IPv4
10TB Bandwidth on 1Gbps Port
Buffalo
$158.88/Year
https://portal.colocrossing.com/register/order/service/484
Intel Xeon E3-1240
32GB RAM
250GB SSD or 1TB HDD
/30 IPv4
10TB Bandwidth on 1Gbps Port
Buffalo
$188.88/Year
https://portal.colocrossing.com/register/order/service/485
各位可以直接通过链接下单,也可以联系我添加订单,谢谢各位大佬老板们 😍😍😍
Intel Xeon E3-1240
16GB RAM
250GB SSD or 1TB HDD
/30 IPv4
10TB Bandwidth on 1Gbps Port
Buffalo
$158.88/Year
https://portal.colocrossing.com/register/order/service/484
Intel Xeon E3-1240
32GB RAM
250GB SSD or 1TB HDD
/30 IPv4
10TB Bandwidth on 1Gbps Port
Buffalo
$188.88/Year
https://portal.colocrossing.com/register/order/service/485
各位可以直接通过链接下单,也可以联系我添加订单,谢谢各位大佬老板们 😍😍😍
BetterForward —— 为更好地转发 Telegram 消息而设计
特点:代替传统PM bot,使用Telegram群组的“话题”功能,将每位用户的消息转发到对应“话题”,交流体验与私聊相似。
适用场景:PM Bot、客服团队、业务咨询
GitHub项目地址: https://github.com/SideCloudGroup/BetterForward
不错的东西,等会儿搭一个
特点:代替传统PM bot,使用Telegram群组的“话题”功能,将每位用户的消息转发到对应“话题”,交流体验与私聊相似。
适用场景:PM Bot、客服团队、业务咨询
GitHub项目地址: https://github.com/SideCloudGroup/BetterForward
不错的东西,等会儿搭一个
telegram获取群组、频道的chat_id方法:
一、最简单的办法
匿名管理员在群组里面随便发一条消息,然后将这条消息转发给机器人@getmyid_bot
会显示"Forwarded from:-xxxxx",-xxxxx就是群组id
该方法适用于私有群组与公开群组,频道则直接转发频道消息即可
为什么需要匿名的管理员发消息呢?因为匿名管理员发送的消息会以群组身份显示,即以群组身份发送消息
二、bot api方法
1.添加bot,允许bot访问群消息
2. 发送/hello @你的机器人_Bot
3.然后访问 https://api.telegram.org/botxxx:xxx/getUpdates【其中xx:xx为Token】
4.你会获得一个会话记录 : chat {"id":-56789,"title":"其中-56789就是id【含负号】
此方法请确保其它地方没有运行getUpdates request,要求同时只有一个机器人实例运行。
一、最简单的办法
匿名管理员在群组里面随便发一条消息,然后将这条消息转发给机器人@getmyid_bot
会显示"Forwarded from:-xxxxx",-xxxxx就是群组id
该方法适用于私有群组与公开群组,频道则直接转发频道消息即可
为什么需要匿名的管理员发消息呢?因为匿名管理员发送的消息会以群组身份显示,即以群组身份发送消息
二、bot api方法
1.添加bot,允许bot访问群消息
2. 发送/hello @你的机器人_Bot
3.然后访问 https://api.telegram.org/botxxx:xxx/getUpdates【其中xx:xx为Token】
4.你会获得一个会话记录 : chat {"id":-56789,"title":"其中-56789就是id【含负号】
此方法请确保其它地方没有运行getUpdates request,要求同时只有一个机器人实例运行。
安全警示|TRX 多重签名骗局
近期,TRX 多重签名骗局异常猖獗,骗子通过诱导用户下载假钱包等方式获取用户的助记词,但是却不直接将用户的代币盗走,而是通过修改用户的 TRX 钱包账户权限,导致用户失去对账户内代币的控制权,只能将代币转入钱包,却无法转出。
本文将揭秘 TRX 多重签名骗局具体是如何实施的,以及我们该如何防范这类骗局。
什么是 TRX 多重签名骗局
当我们创建了一个 TRX 钱包后,这个钱包账户默认的拥有者权限为账户本人,阈值为 1,即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。
注:拥有者权限是指一个 TRX 账户的最高权限,具有该权限的地址可进行该账户内的所有操作。
而当骗子获取了用户助记词,对其 TRX 账户权限进行修改后,用户地址的拥有者权限变为用户本人和骗子共同持有,阈值为 2,即钱包转账需要两个拥有者权限的地址——用户的地址和骗子的地址,共同签名授权才能发起。
由于此时 TRX 钱包的转账需要多重签名(用户地址的签名和骗子地址的签名)才能完成,所以这类骗局被称为 TRX 多重签名骗局。
这就意味着,当用户的 TRX 账户被骗子更改为需多重签名的地址后,用户发起的任何交易,都需要骗子的签名授权才能完成,如果只是用户单方面发起交易,就会遇到类似「server:SIGERROR」的报错。
你可能会疑惑,为什么用户拥有自己账户的助记词 / 私钥,也无法「独立完成」代币的转出操作。
以合伙开公司的例子解释一下,你就明白了。假设有一家公司有两个合伙人,他们在这家公司成立之初规定:所有的重大决策要两个合作人都同意进行签名授权,即多重签名,才可以执行。若有一方不同意,决策则不通过。
被骗子修改为多重签名的 TRX 账户就像是这样一家公司,即便用户持有钱包助记词,但也已经无法「独立完成」对这个钱包的转账等重大操作。
用户只能将代币转入这个账户,却无法转出,骗子就是利用这一点从而「放长线钓大鱼」,等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账,且不去链上查看自己的账户权限,那他可能会一直蒙在鼓里并持续地向这个账户转钱。
另外,骗子除了通过诱导用户下载假钱包方式外,还会通过以下两类方式利用多重签名诈骗:
不要相信天下不会有免费的午餐,切莫贪小便宜
消息来源:imToken 安全团队
近期,TRX 多重签名骗局异常猖獗,骗子通过诱导用户下载假钱包等方式获取用户的助记词,但是却不直接将用户的代币盗走,而是通过修改用户的 TRX 钱包账户权限,导致用户失去对账户内代币的控制权,只能将代币转入钱包,却无法转出。
本文将揭秘 TRX 多重签名骗局具体是如何实施的,以及我们该如何防范这类骗局。
什么是 TRX 多重签名骗局
当我们创建了一个 TRX 钱包后,这个钱包账户默认的拥有者权限为账户本人,阈值为 1,即钱包转账需持有一个拥有者权限的地址进行签名授权才能发起。
注:拥有者权限是指一个 TRX 账户的最高权限,具有该权限的地址可进行该账户内的所有操作。
而当骗子获取了用户助记词,对其 TRX 账户权限进行修改后,用户地址的拥有者权限变为用户本人和骗子共同持有,阈值为 2,即钱包转账需要两个拥有者权限的地址——用户的地址和骗子的地址,共同签名授权才能发起。
由于此时 TRX 钱包的转账需要多重签名(用户地址的签名和骗子地址的签名)才能完成,所以这类骗局被称为 TRX 多重签名骗局。
这就意味着,当用户的 TRX 账户被骗子更改为需多重签名的地址后,用户发起的任何交易,都需要骗子的签名授权才能完成,如果只是用户单方面发起交易,就会遇到类似「server:SIGERROR」的报错。
你可能会疑惑,为什么用户拥有自己账户的助记词 / 私钥,也无法「独立完成」代币的转出操作。
以合伙开公司的例子解释一下,你就明白了。假设有一家公司有两个合伙人,他们在这家公司成立之初规定:所有的重大决策要两个合作人都同意进行签名授权,即多重签名,才可以执行。若有一方不同意,决策则不通过。
被骗子修改为多重签名的 TRX 账户就像是这样一家公司,即便用户持有钱包助记词,但也已经无法「独立完成」对这个钱包的转账等重大操作。
用户只能将代币转入这个账户,却无法转出,骗子就是利用这一点从而「放长线钓大鱼」,等到用户在账户中积累了足够的代币后再一次性盗走。如果一个用户从来都是只收款不转账,且不去链上查看自己的账户权限,那他可能会一直蒙在鼓里并持续地向这个账户转钱。
另外,骗子除了通过诱导用户下载假钱包方式外,还会通过以下两类方式利用多重签名诈骗:
在 Telegram 等社交平台推广充值网站,诱导用户使用数字代币进行充值,实际上是趁用户充值时获取账户的拥有者权限,导致用户失去对账户的控制权;
在 Telegram、微信等社交平台公开自己的助记词 / 私钥,诱导用户转入 TRX 作为手续费以转走钱包内的代币,但实际骗子早已将拥有者权限转移,最终导致用户损失 TRX。
不要相信天下不会有免费的午餐,切莫贪小便宜
消息来源:imToken 安全团队