近日,安全研究人员 Ian Carroll 披露,他借助 Anthropic 公司的 Claude AI(Opus 模型)成功发现并利用了 Front Gate Tickets(FGT)票务平台的一个严重未认证 SQL 注入漏洞。
FGT 作为 Live Nation/Ticketmaster 的子公司,负责美国多个大型音乐节和活动的票务系统,包括 EDC、Bonnaroo 和 Outside Lands 等。通过这一漏洞,攻击者仅凭一个未认证的 GET 请求即可获得平台完全管理员权限,理论上能够无限发放免费 “comp” 门票,并随意访问数百万客户与员工记录。
研究人员在对 fgtapi 进行模糊测试时,发现 “device” 相关端点的 deviceUID 参数存在明显 SQL 注入风险。由于 AWS Web 应用防火墙的阻挡,传统工具如 sqlmap 难以奏效。
他随后将问题交给 Claude,AI 迅速分析出可通过嵌套子查询绕过 WAF 检测,并利用 MySQL 字符串与数字相加自动转为 0 的特性,构建了高效的布尔盲 SQL 注入攻击。
通过逐步提取数据,研究人员访问了包含超过 500 张表的 fgs 数据库,获取了员工邮箱、密码、实时重置令牌和 API 令牌等敏感信息,最终读取活跃的 RESET_TOKEN 成功劫持管理员账户。
获得管理员权限后,攻击者不仅能随意发放免费门票、修改票价和库存,还能搜索客户订单数据库,甚至进一步劫持其他账户。Ian Carroll 在完成概念验证后选择负责任披露,未进行任何数据大规模窃取或恶意利用。Front Gate Tickets 收到报告后迅速修复了漏洞,并表示即将推出漏洞赏金计划。
via 匿名
FlClouds 是面向个人和小团队的 Telegram 转存与私有云存储系统。它提供 Web 文件管理、Telegram Bot 上传、yt-dlp 链接下载、频道/群组媒体转存、订阅同步、自动归档和多存储源接入。
https://github.com/hicocos/FlClouds
https://github.com/hicocos/FlClouds
判断当前浏览器环境是否更像中国用户 / 中国地区设备
https://github.com/yArna/isChinaUser
https://github.com/yArna/isChinaUser
腾讯TenPayGo 开放公众注册使用
腾讯于6月21日上架了名为“TenPayGo”的独立支付应用。该应用是腾讯推出的面向海外旅客版本的“微信支付”,界面为全英文,类似于银联云闪付的“你好中国”。
但此前数日,如注册将会提示“内部测试中”。而目前,TenPayGo已开放公众通过邮箱注册。但目前注册仅支持 Gmail,不支持Outlook、iCloud等其他邮箱,使用这些邮箱仍会提示“内部测试中”。
该应用支持使用Apple Pay或绑定银行卡付款,支持的银行卡有:境外发行的VISA、万事达、美国运通、JCB、Discover、DinersClub卡。
同时,针对部分滥用的卡BIN号段(如部分U卡),此应用亦做出了与内地微信支付相同的风控措施:即不允许绑定(提示不支持绑定此银行),但若卡本身支持Apple Pay,通过Apple Pay渠道仍可正常付款。
目前,该应用仅支持向被扫模式下向个人收款码、经营收款码和第三方支付机构码牌,以及主扫模式下向部分个人收款码、经营收款码进行支付,尚不支持主扫模式下向部分个人收款码和第三方支付机构码牌支付,亦不支持从微信内或第三方应用跳转TenPayGo支付。
手续费方面,实测部分苹果端用户200元及以下免手续费,200元以上收取3%手续费;而部分苹果端用户与安卓端无论支付多少均收取3%手续费。目前尚不明确为何会出现此种差异。
限额方面,目前尚不明确单笔、单日、年限额等。
腾讯于6月21日上架了名为“TenPayGo”的独立支付应用。该应用是腾讯推出的面向海外旅客版本的“微信支付”,界面为全英文,类似于银联云闪付的“你好中国”。
但此前数日,如注册将会提示“内部测试中”。而目前,TenPayGo已开放公众通过邮箱注册。但目前注册仅支持 Gmail,不支持Outlook、iCloud等其他邮箱,使用这些邮箱仍会提示“内部测试中”。
该应用支持使用Apple Pay或绑定银行卡付款,支持的银行卡有:境外发行的VISA、万事达、美国运通、JCB、Discover、DinersClub卡。
同时,针对部分滥用的卡BIN号段(如部分U卡),此应用亦做出了与内地微信支付相同的风控措施:即不允许绑定(提示不支持绑定此银行),但若卡本身支持Apple Pay,通过Apple Pay渠道仍可正常付款。
目前,该应用仅支持向被扫模式下向个人收款码、经营收款码和第三方支付机构码牌,以及主扫模式下向部分个人收款码、经营收款码进行支付,尚不支持主扫模式下向部分个人收款码和第三方支付机构码牌支付,亦不支持从微信内或第三方应用跳转TenPayGo支付。
手续费方面,实测部分苹果端用户200元及以下免手续费,200元以上收取3%手续费;而部分苹果端用户与安卓端无论支付多少均收取3%手续费。目前尚不明确为何会出现此种差异。
限额方面,目前尚不明确单笔、单日、年限额等。
Showpaw
海外影视网盘资源聚合搜索,覆盖美剧、英剧、电影、动画、纪录片等类型,特点是可实时验证百度、夸克、阿里、115、迅雷、UC 等多家网盘的链接有效性,并自动过滤失效资源,且对于剧集类型资源,还支持按季筛选,体验特别不错,完全免费,无需注册。
频道 @WidgetChannel
熔铸仿写:一个番茄小说风格的 AI 短篇小说全流程自动生成系统(可反检测)
https://github.com/dama-cyber/Casting-Workflow
https://github.com/dama-cyber/Casting-Workflow
Anthropic 表示,Fable 5 将于 7 月 1 日起,在 Claude Platform、Claude ai、Claude Code 和 Claude Cowork 上向全球用户开放。
对于 Pro、Max、Team 和部分企业版套餐用户,Fable 5 将在 7 月 7 日之前最多可以用到每周使用额度的50%(for up to 50% of weekly usage limits through July 7),之后将通过 usage credits 提供。我们将尽快恢复在 AWS、Google Cloud 和 Microsoft Foundry 上的访问权限。
6 月 12 日的出口管制指令源于政府获悉一份报告,该报告称亚马逊的研究人员发现了一种绕过 Fable 5 安全防护的方法:
通过提示它识别出多个软件漏洞。在其中一个案例中,该模型生成了展示如何利用相关漏洞的代码。过去两周,Anthropic 一直与政府及其他合作伙伴(包括亚马逊)密切合作,以审查该报告和相关证据。
Anthropic 测试证实,包括 Claude Opus 4.8、GPT-5.5 和 Kimi K2.7 在内的许多能力较弱的模型,都能够识别出与报告中 Fable 5 所发现的相同漏洞。
Anthropic 表示,他们与政府合作训练了一个改进的安全分类器,该分类器能够识别并拦截亚马逊报告中描述的行为。
如果对 Fable 5 的请求被拦截,用户将会收到通知,并且该请求将被转而发送到 Opus 4.8。新的分类器意味着亚马逊报告中描述的特定技术在超过 99% 的情况下都会被拦截。
在极少数情况下,模型可能会提供信息,但其详细程度不足以帮助网络攻击者。模型的安全措施预计不会拦截所有低风险的常规网络防御功能,而只会拦截那些可能造成危害的功能。
via 匿名