𝙏𝙂 · 𝙎𝙀𝘾
1.92K subscribers
32 photos
5 files
7 links
随心所欲 随欲而行
Download Telegram
为什么都这么穷? OKPAY多放一点不行吗?
我要开始爽玩电子了
1
原来500一拉是这样爽的?
1👍1
来了!

PS,这个台子应该是假的,所以我都没尝试提现
🔥21
确认了 不能提现,因为这是个假台子,而运营者在群里...
2
@TGSEC 团队

已获得🫥🫥🫥🫥🫥🫥🫥🫥🫥
以后更新在此频道!

成员名单:
兮夜: @XIYE
小国: @GODK
均已获得Hold认证🫥谨防上当受骗!
团队成员不会私下索要任何费用,所有交易需在团队两名成员同时在线进行。
Please open Telegram to view this post
VIEW IN TELEGRAM
2
777VVIP测试报告 @TGSEC分享.md
15.5 KB
今日分享五月份测试柬埔寨🇰🇭某博彩平台完整测试报告。

由于平台资金有限,提取400USDT
报告内有利用链和漏洞讲解。


核心漏洞成因:
未鉴权(Authentication)
- GET /api/game/payment-accounts — 匿名可访问
- POST /api/game/agent/register — 匿名可注册

未授权(Authorization)
- GET /api/game/agent/all-users 及全部 /admin/* 路由 — 登录了但没校验 role,agent 和 admin 权限等价

其余所有漏洞都是这两个根因的延伸:sessionToken 泄露、MD5 泄露、提款密码无验证,全是因为"能进来"之后没有任何访问控制拦着。

一句话:后端只检查"你登录了没",没检查"你是谁、能干什么"。


平台获取来源来自测绘引擎扫描。
@TGSEC 小国分享。
4👍1
TG SEC今日分享第二弹🖥

本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。

首先声明:本频道只致力于分享网络安全知识,以及为热爱网络安全爱好者提供优质信息平台。

Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。

本期介绍: “反水无限调整
⚠️

附图如上,本次漏洞以修复,仅提供思路分享。

此平台存在,任意用户可无限创建下级代理,以及任意调整下级用户反水百分比。

举例说明:用户A,创建用户B,用户A通过调整下级反水抓包请求,例如电子反水百分之1-2,此平台在请求中明文展示请求以及响应无加密,其中调整反水请求可自由修改,并且后端返回200,成功,并且把反水改为99999,正常为1。

那么通过如此修改,例如用户B,下注1U的电子,本应该获得0.01U的下级反水,修改后*99999。


@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
Please open Telegram to view this post
VIEW IN TELEGRAM
👍42
@TGSEC 小国 @Godk 今日战绩🛒

成功拿下某号铺账号后台,提取全库账号以及用户数据信息,TGSEC致力于网络安全分析技术分享,小国以于漏洞出现第一时间联系对方,拒不配合。

出售号铺用户8000+高质量数据,账号凭证暂被打包📦
Please open Telegram to view this post
VIEW IN TELEGRAM
4👍3
𝙏𝙂 · 𝙎𝙀𝘾 pinned a photo
🎁TGSEC·社区群内在抽奖
自动审核: @TGSRCJB18CmBot
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
🔥1
小国
@TGSEC 小国 @Godk 今日战绩🛒 成功拿下某号铺账号后台,提取全库账号以及用户数据信息,TGSEC致力于网络安全分析技术分享,小国以于漏洞出现第一时间联系对方,拒不配合。 出售号铺用户8000+高质量数据,账号凭证暂被打包📦
@TGSEC 分享安全知识系列🎁

🫥大家是不是往往认为,我的Bot,纯按钮,纯命令无任何泄漏就不会出现漏洞?今天的例子 《青云号铺》

此Bot无任何URL交互无小程序无网站是如何拿到后台的?

🖥答案就是: 网络空间测绘引擎,比如FoFa、ShoDan等…扫描你的网站指纹,特征搜集。

成功通过漏洞拿下此站点全部权限。

@TGSEC 小国分享📈
Please open Telegram to view this post
VIEW IN TELEGRAM
Cursor 账号3万+.txt
15.7 MB
🎁 @TGSEC 分享
Cursor 账号池+Token
关注频道,有用自取即可~
Please open Telegram to view this post
VIEW IN TELEGRAM
@TGSEC 今日分享🖥

关于 @OKPAY 被 @KOOYV 黑入接管全量商户出款300万美金左右的Hack。

🫥TELEGRAM 顶级支付钱包被攻破,但是还好有火山哥 @BBAA 以及一系列资产背书,钱包安全无忧,但是安全无绝对,攻防无黑白,技术无罪。

如果你对安全感兴趣,TGSEC欢迎您的到来!

🎁自动审核: @TGSRCJB18CmBot

小国评价:方阳只干大的!小国和TGSEC的含金量仍在上升。
Please open Telegram to view this post
VIEW IN TELEGRAM
1👏1
晚点或许会分享 OKPAY 被黑漏洞原理复盘,敬请关注。
8
在此之前, 先分享一个0day仓库包含几十个0day

包括但不限于firefox、7zip、docker、ffmpeg、php857等。

https://github.com/bikini/exploitarium
3
Forwarded from Okpay News
OKPAY 公告

近期,OKPAY 监测到个别商户订单链路存在异常情况。技术团队已第一时间完成处理,并对相关链路进行了安全复核与加固。

经核查,本次异常未影响平台资产储备,未影响用户真实余额,未影响正常转账、收款、提现及商户结算。

针对外部个别传播的“平台发生 300 万 U 资金损失”等说法,经核查与事实不符。请大家以 OKPAY 官方频道及官方客服信息为准。

OKPAY 始终重视用户隐私、资产安全与服务稳定,也将继续坚持简单、私密、安全的产品理念,为用户提供稳定的加密资产转账、存储与数字红包服务。

目前 OKPAY 各项服务正常运行。如账户存在具体疑问,可联系官方客服:@okqb

OKPAY 在线,服务不打烊。

OKPAY 团队
3👍3