<?xml version="1.0" encoding="UTF-8"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>FGT | //iplc.best 搬运分享</title><description>ePN🌐IPLC专线推荐选购指南：  https://iplc.best/  🤝 联系频道主：  @IPLC_BEST_CHATBOT</description><link>https://www.iplc.best</link><item><title>黑客利用 Claude 获取了几乎所有美国音乐节的免费门票近日，安全研究人员 Ian Carroll 披露，他借助 Anthropic 公司的 Claude AI（Opus 模型）成功发现并利用了 Front Gate Tickets（FGT）票务平台的一个严重未认证 SQL 注入漏洞</title><link>https://www.iplc.best/posts/9154</link><guid isPermaLink="true">https://www.iplc.best/posts/9154</guid><pubDate>Sun, 05 Jul 2026 14:13:56 GMT</pubDate><content:encoded>&lt;div&gt;
      
        &lt;img src=&quot;/static/https://cdn5.telesco.pe/file/Qv7t_x0cL2j5qX30qxj4hlKIjlcy3PAAs7sZTa1VLLtzW_l7HFZxcR9gH9BL1LosO6O3appmjpAnlJ_ktrIJQTRXM4xC_vmsFW6r1FXus8IOEiI_X13LasOq6uRKjmb5v48sUBe1LdToGU0B081bbruWyVj79NbwRMtzzQqDLch5Rz1OOZUiRG6Qx9KfftUkU8TblE1YM4viUMHAiX2UmitnoYYpk51yGEOa-MRMC38C_fPoVezk2yzIEJGC_1AuHSiS2oFEe8al9mWNItVcQ3q1QFrFV2GGQQG2L6vg7d3BoHAxrodW-8Dy2HSu-sa2R3u51lMK37G97rbsg6igtg.jpg&quot; alt=&quot;黑客利用 Claude 获取了几乎所有美国音乐节的免费门票近日，安全研究人员 Ian Carroll 披露，他借助 Anthropic 公司的 Claude AI（Opus 模型）成功发现并利用了 Front Gate Tickets（FGT）票务平台的一个严重未认证 SQL 注入漏洞&quot; loading=&quot;lazy&quot; /&gt;
      
      
        
      
    &lt;/div&gt;&lt;a href=&quot;https://www.wired.com/story/claude-helped-a-hacker-find-a-way-to-issue-tickets-to-almost-every-us-music-festival/&quot; target=&quot;_blank&quot;&gt;&lt;b&gt;黑客利用 Claude 获取了几乎所有美国音乐节的免费门票&lt;/b&gt;&lt;/a&gt;&lt;br /&gt;&lt;a href=&quot;https://www.wired.com/story/claude-helped-a-hacker-find-a-way-to-issue-tickets-to-almost-every-us-music-festival/&quot; target=&quot;_blank&quot;&gt;&lt;b&gt;&lt;br /&gt;&lt;/b&gt;&lt;/a&gt;近日，安全研究人员 Ian Carroll 披露，&lt;b&gt;他借助 Anthropic 公司的 Claude AI（Opus 模型）成功发现并利用了 Front Gate Tickets（&lt;/b&gt;&lt;mark&gt;&lt;b&gt;FGT&lt;/b&gt;&lt;/mark&gt;&lt;b&gt;）票务平台的一个严重未认证 SQL 注入漏洞。&lt;/b&gt;&lt;br /&gt;&lt;br /&gt;&lt;mark&gt;FGT&lt;/mark&gt; 作为 Live Nation/Ticketmaster 的子公司，负责美国多个大型音乐节和活动的票务系统，包括 EDC、Bonnaroo 和 Outside Lands 等。通过这一漏洞，&lt;b&gt;攻击者仅凭一个未认证的 GET 请求即可获得平台完全管理员权限，理论上能够无限发放免费 “comp” 门票，并随意访问数百万客户与员工记录。&lt;/b&gt;&lt;br /&gt;&lt;br /&gt;&lt;blockquote&gt;&lt;a href=&quot;https://cybersecuritynews.com/claude-ai-score-free-tickets-music/&quot; target=&quot;_blank&quot;&gt;研究人员在对 fgtapi 进行模糊测试时&lt;/a&gt;，发现 “device” 相关端点的 deviceUID 参数存在明显 SQL 注入风险。由于 AWS Web 应用防火墙的阻挡，传统工具如 sqlmap 难以奏效。&lt;br /&gt;&lt;br /&gt;他随后将问题交给 Claude，AI 迅速分析出可通过嵌套子查询绕过 WAF 检测，并利用 MySQL 字符串与数字相加自动转为 0 的特性，构建了高效的布尔盲 SQL 注入攻击。&lt;br /&gt;&lt;br /&gt;通过逐步提取数据，研究人员访问了包含超过 500 张表的 fgs 数据库，获取了员工邮箱、密码、实时重置令牌和 API 令牌等敏感信息，最终读取活跃的 RESET_TOKEN 成功劫持管理员账户。&lt;/blockquote&gt;&lt;br /&gt;&lt;br /&gt;&lt;b&gt;获得管理员权限后，攻击者不仅能随意发放免费门票、修改票价和库存，还能搜索客户订单数据库，甚至进一步劫持其他账户。&lt;/b&gt;Ian Carroll 在完成概念验证后选择负责任披露，未进行任何数据大规模窃取或恶意利用。Front Gate Tickets 收到报告后迅速修复了漏洞，并表示即将推出漏洞赏金计划。&lt;br /&gt;&lt;br /&gt;&lt;i&gt;via&lt;/i&gt; 匿名&lt;br /&gt;&lt;br /&gt;&lt;i&gt;&lt;b&gt;🗒&lt;/b&gt;&lt;/i&gt; 标签: &lt;a href=&quot;/search/%23Anthropic&quot;&gt;#Anthropic&lt;/a&gt; &lt;a href=&quot;/search/%23Claude&quot;&gt;#Claude&lt;/a&gt; &lt;a href=&quot;/search/%23FGT&quot;&gt;#FGT&lt;/a&gt;&lt;br /&gt;&lt;i&gt;&lt;b&gt;📢&lt;/b&gt;&lt;/i&gt; 频道: &lt;a href=&quot;https://t.me/GodlyNews1&quot; target=&quot;_blank&quot;&gt;@GodlyNews1&lt;/a&gt;&lt;br /&gt;&lt;i&gt;&lt;b&gt;🤖&lt;/b&gt;&lt;/i&gt; 投稿: &lt;a href=&quot;https://t.me/GodlyNewsBot&quot; target=&quot;_blank&quot;&gt;@GodlyNewsBot&lt;/a&gt;</content:encoded></item></channel></rss>