TG SEC今日分享第二弹🖥
本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。
✅ 首先声明:本频道只致力于分享网络安全知识,以及为热爱网络安全爱好者提供优质信息平台。
Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。
本期介绍: “反水无限调整”⚠️
附图如上,本次漏洞以修复,仅提供思路分享。
@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
本次给大家介绍的是,也是大家最喜欢的一类产品: “博彩”平台。
Telegram最多的产品还是“飞投”居多,但是伴随着各种各样的娱乐产品问世,安全隐患随着开发人员的疏忽造成资金类型漏洞不断。
本期介绍: “反水无限调整”
附图如上,本次漏洞以修复,仅提供思路分享。
此平台存在,任意用户可无限创建下级代理,以及任意调整下级用户反水百分比。
举例说明:用户A,创建用户B,用户A通过调整下级反水抓包请求,例如电子反水百分之1-2,此平台在请求中明文展示请求以及响应无加密,其中调整反水请求可自由修改,并且后端返回200,成功,并且把反水改为99999,正常为1。
那么通过如此修改,例如用户B,下注1U的电子,本应该获得0.01U的下级反水,修改后*99999。
@TGSEC 小国分享仅为思路提供,不适用于所有生产环境测试。
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2
Please open Telegram to view this post
VIEW IN TELEGRAM
小国
@TGSEC 小国 @Godk 今日战绩🛒 成功拿下某号铺账号后台,提取全库账号以及用户数据信息,TGSEC致力于网络安全分析技术分享,小国以于漏洞出现第一时间联系对方,拒不配合。 出售号铺用户8000+高质量数据,账号凭证暂被打包📦
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
@TGSEC 今日分享🖥
🫥 TELEGRAM 顶级支付钱包被攻破,但是还好有火山哥 @BBAA 以及一系列资产背书,钱包安全无忧,但是安全无绝对,攻防无黑白,技术无罪。
如果你对安全感兴趣,TGSEC欢迎您的到来!
🎁 自动审核: @TGSRCJB18CmBot
小国评价:方阳只干大的!小国和TGSEC的含金量仍在上升。
关于 @OKPAY 被 @KOOYV 黑入接管全量商户出款300万美金左右的Hack。
如果你对安全感兴趣,TGSEC欢迎您的到来!
小国评价:方阳只干大的!小国和TGSEC的含金量仍在上升。
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👏1
在此之前, 先分享一个0day仓库包含几十个0day
包括但不限于firefox、7zip、docker、ffmpeg、php857等。
https://github.com/bikini/exploitarium
包括但不限于firefox、7zip、docker、ffmpeg、php857等。
https://github.com/bikini/exploitarium
❤3
Forwarded from Okpay News
OKPAY 公告
近期,OKPAY 监测到个别商户订单链路存在异常情况。技术团队已第一时间完成处理,并对相关链路进行了安全复核与加固。
经核查,本次异常未影响平台资产储备,未影响用户真实余额,未影响正常转账、收款、提现及商户结算。
针对外部个别传播的“平台发生 300 万 U 资金损失”等说法,经核查与事实不符。请大家以 OKPAY 官方频道及官方客服信息为准。
OKPAY 始终重视用户隐私、资产安全与服务稳定,也将继续坚持简单、私密、安全的产品理念,为用户提供稳定的加密资产转账、存储与数字红包服务。
目前 OKPAY 各项服务正常运行。如账户存在具体疑问,可联系官方客服:@okqb
OKPAY 在线,服务不打烊。
OKPAY 团队
近期,OKPAY 监测到个别商户订单链路存在异常情况。技术团队已第一时间完成处理,并对相关链路进行了安全复核与加固。
经核查,本次异常未影响平台资产储备,未影响用户真实余额,未影响正常转账、收款、提现及商户结算。
针对外部个别传播的“平台发生 300 万 U 资金损失”等说法,经核查与事实不符。请大家以 OKPAY 官方频道及官方客服信息为准。
OKPAY 始终重视用户隐私、资产安全与服务稳定,也将继续坚持简单、私密、安全的产品理念,为用户提供稳定的加密资产转账、存储与数字红包服务。
目前 OKPAY 各项服务正常运行。如账户存在具体疑问,可联系官方客服:@okqb
OKPAY 在线,服务不打烊。
OKPAY 团队
❤3👍3
哦?是谁呢🔎
➡️ @DZPD 为租用用户名
➡️ @DZYL888Bot 为杀鱼诈骗平台
➡️ 小国评价: 租用用户名杀鱼属于恶意程序行为,TGSEC官方给予打击👊 并且持续曝光此类平台。
➡️ 支持正版人人有责,小赌怡情,大赌灰飞烟灭。
➡️ 本次行动策划实施: @JDCCC 脑斧牌
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2💯1
@TGSEC 社区也正式开通HOLD🫥
🔔 进群方式:
@GODK (狗经理)
VIP24小时免审核入口:
🫥 @TGSRCJB18CMbot
(文字关注频道审核机器人,抽查非标准会自动移出)
✏️ 备注: 进社区群
👤 拒绝外挂、协议、以及非会员群体进入,为了维护社区的稳定和谐发展作出相应的制止策略,望海涵。
@GODK (狗经理)
VIP24小时免审核入口:
(文字关注频道审核机器人,抽查非标准会自动移出)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
小国
VIP24小时免审核入口:
每日凌晨刷新进群次数,限额50名。
(文字关注频道审核机器人,抽查非标准会自动移出)
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from MY 互联网冲浪日记 (MY)
刚才和朋友聊天聊到了这里,我顺便吐槽一下。
我一向认为,做安全的人可以不精通开发,但做开发的人一定要懂安全。
一个开发团队不仅仅只会开发,一个安全团队也不仅仅只做安全。
真正的开发,不只是实现业务功能,还要具备安全意识、性能意识、稳定性意识。从需求设计、代码实现到部署上线,都应该把安全作为产品的一部分,而不是出了问题再去补漏洞。
同样,真正的安全,也不仅仅是漏洞扫描、渗透测试、代码审计。安全团队同样需要理解业务、理解架构、理解开发流程,能够参与安全设计、代码审计、风险评估,也能够在事故发生时快速定位问题、分析攻击路径、完成应急响应,并推动问题彻底修复,而不是停留在「发现漏洞」这一环。
开发、安全、运维、应急响应,本质上都是工程能力的一部分。很多时候,一次高质量的应急响应,考验的不只是安全技术,更是对系统架构、业务逻辑、日志分析、数据库、网络以及开发框架的整体理解。
所以我始终认为,开发和安全从来不是两个割裂的岗位,而是相互融合、相互促进的能力体系。开发需要安全思维,安全需要工程思维,只有具备完整的技术视角,才能真正构建出稳定、安全、可靠的产品。
另外现在 AI 百花齐放,写代码的门槛确实降低了,但也出现了一个越来越明显的问题:不少人把「能跑」当成了「能上线」,把「没有报错」当成了「没有风险」。复制 AI 生成的代码,不理解它为什么这么写,不验证输入输出,不考虑权限控制,不检查依赖来源,更不会思考潜在的安全隐患。
AI 的确能提升开发效率,但它不会替你承担责任。AI 可以帮你写代码,可以让一个 Demo 在几分钟内跑起来,却不能保证它能经受真实环境的攻击 (此处 @godk 和 @imkuwei)。
工程的终点,从来不是代码跑起来,而是产品能够稳定、安全、可靠地运行。AI 是放大器,它能放大优秀工程师的能力,也同样会放大坏习惯和安全隐患。真正有价值的,不是会不会用 AI,而是有没有能力判断 AI 给出的东西是否值得相信。
我一向认为,做安全的人可以不精通开发,但做开发的人一定要懂安全。
一个开发团队不仅仅只会开发,一个安全团队也不仅仅只做安全。
真正的开发,不只是实现业务功能,还要具备安全意识、性能意识、稳定性意识。从需求设计、代码实现到部署上线,都应该把安全作为产品的一部分,而不是出了问题再去补漏洞。
同样,真正的安全,也不仅仅是漏洞扫描、渗透测试、代码审计。安全团队同样需要理解业务、理解架构、理解开发流程,能够参与安全设计、代码审计、风险评估,也能够在事故发生时快速定位问题、分析攻击路径、完成应急响应,并推动问题彻底修复,而不是停留在「发现漏洞」这一环。
开发、安全、运维、应急响应,本质上都是工程能力的一部分。很多时候,一次高质量的应急响应,考验的不只是安全技术,更是对系统架构、业务逻辑、日志分析、数据库、网络以及开发框架的整体理解。
所以我始终认为,开发和安全从来不是两个割裂的岗位,而是相互融合、相互促进的能力体系。开发需要安全思维,安全需要工程思维,只有具备完整的技术视角,才能真正构建出稳定、安全、可靠的产品。
另外现在 AI 百花齐放,写代码的门槛确实降低了,但也出现了一个越来越明显的问题:不少人把「能跑」当成了「能上线」,把「没有报错」当成了「没有风险」。复制 AI 生成的代码,不理解它为什么这么写,不验证输入输出,不考虑权限控制,不检查依赖来源,更不会思考潜在的安全隐患。
AI 的确能提升开发效率,但它不会替你承担责任。AI 可以帮你写代码,可以让一个 Demo 在几分钟内跑起来,却不能保证它能经受真实环境的攻击 (此处 @godk 和 @imkuwei)。
工程的终点,从来不是代码跑起来,而是产品能够稳定、安全、可靠地运行。AI 是放大器,它能放大优秀工程师的能力,也同样会放大坏习惯和安全隐患。真正有价值的,不是会不会用 AI,而是有没有能力判断 AI 给出的东西是否值得相信。
👍4❤1
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1