TGSEC今日分享🤝
10000 个+1🇺🇸半年以上无2Fa账号
先到先得,都在一个zip内。
先到先得,都在一个zip内。
Please open Telegram to view this post
VIEW IN TELEGRAM
兮夜
@NG88yxbot 谁去测试是否可以提现成功
@aifulijibot 我懒得发 点击领取 10000U ,应该提现不了,先去启动 @NG88yxbot
+15795905084----http://194.163.45.144/api/get_sms?key=32bc8eb5cef76734db75cd0dea7cc699----查号码有效期http://194.163.45.144/index/get_expiry?number=5795905084
+16837076975----http://194.163.45.144/api/get_sms?key=fb7c8b67edaa834a4f5b8c6088481cc4----查号码有效期http://194.163.45.144/index/get_expiry?number=6837076975
+12495365705----http://194.163.45.144/api/get_sms?key=fc576a9aed84147442636119be124274----查号码有效期http://194.163.45.144/index/get_expiry?number=2495365705
+12897109636----http://194.163.45.144/api/get_sms?key=3f44cafd0389b871dd41aec2b63a25a8----查号码有效期http://194.163.45.144/index/get_expiry?number=2897109636
+13547992671----http://194.163.45.144/api/get_sms?key=4b8f6879f74fcef5ef171be6f0b52156----查号码有效期http://194.163.45.144/index/get_expiry?number=3547992671
+15484775870----http://194.163.45.144/api/get_sms?key=9238e7c92d401adf47eb4b37e03aaac7----查号码有效期http://194.163.45.144/index/get_expiry?number=5484775870
+15488592617----http://194.163.45.144/api/get_sms?key=e13c5e1729698ca560d252bccf35e7c6----查号码有效期http://194.163.45.144/index/get_expiry?number=5488592617
送几个whatsapp号
777VVIP测试报告 @TGSEC分享.md
15.5 KB
今日分享五月份测试柬埔寨🇰🇭某博彩平台完整测试报告。
由于平台资金有限,提取400USDT
报告内有利用链和漏洞讲解。
核心漏洞成因:
未鉴权(Authentication)
- GET /api/game/payment-accounts — 匿名可访问
- POST /api/game/agent/register — 匿名可注册
未授权(Authorization)
- GET /api/game/agent/all-users 及全部 /admin/* 路由 — 登录了但没校验 role,agent 和 admin 权限等价
其余所有漏洞都是这两个根因的延伸:sessionToken 泄露、MD5 泄露、提款密码无验证,全是因为"能进来"之后没有任何访问控制拦着。
一句话:后端只检查"你登录了没",没检查"你是谁、能干什么"。
平台获取来源来自测绘引擎扫描。
@TGSEC 小国分享。
由于平台资金有限,提取400USDT
报告内有利用链和漏洞讲解。
核心漏洞成因:
- GET /api/game/payment-accounts — 匿名可访问
- POST /api/game/agent/register — 匿名可注册
未授权(Authorization)
- GET /api/game/agent/all-users 及全部 /admin/* 路由 — 登录了但没校验 role,agent 和 admin 权限等价
其余所有漏洞都是这两个根因的延伸:sessionToken 泄露、MD5 泄露、提款密码无验证,全是因为"能进来"之后没有任何访问控制拦着。
一句话:后端只检查"你登录了没",没检查"你是谁、能干什么"。
平台获取来源来自测绘引擎扫描。
@TGSEC 小国分享。
❤4👍1
TG SEC今日分享第二弹🖥
本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。
✅ 首先声明:本频道只致力于分享网络安全知识,以及为热爱网络安全爱好者提供优质信息平台。
Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。
本期介绍: “反水无限调整”⚠️
附图如上,本次漏洞以修复,仅提供思路分享。
@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。
Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。
本期介绍: “反水无限调整”
附图如上,本次漏洞以修复,仅提供思路分享。
此平台存在,任意用户可无限创建下级代理,以及任意调整下级用户反水百分比。
举例说明:用户A,创建用户B,用户A通过调整下级反水抓包请求,例如电子反水百分之1-2,此平台在请求中明文展示请求以及响应无加密,其中调整反水请求可自由修改,并且后端返回200,成功,并且把反水改为99999,正常为1。
那么通过如此修改,例如用户B,下注1U的电子,本应该获得0.01U的下级反水,修改后*99999。
@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2