来自 @GamerNoTitle 的各种动态的发布频道(各种发癫日常),群聊在 @DohnaNyan,私聊请发送至 @PaffCreamPMBot
内群 https://t.me/+pk-inutwlK0wMTdl
嫌频道太吵可以开免打扰,本频道会不定时发一些日常也好新闻也好,反正就是很杂(指日常发电)
Github: @GamerNoTitle
Twitter: @GamerNoTitle
Website: https://bili33.top
内群 https://t.me/+pk-inutwlK0wMTdl
嫌频道太吵可以开免打扰,本频道会不定时发一些日常也好新闻也好,反正就是很杂(指日常发电)
Github: @GamerNoTitle
Twitter: @GamerNoTitle
Website: https://bili33.top
#日常 昨天看了一下某个人作软件,这个软件存在两个权益,是通过服务器获取的,通过抓包可以看到其内容,有个 sign 字段对服务器传回的 data 进行合法性校验,看着像 AES 证书签。本来打算看看能不能搞定它的 sign 校验逻辑顺带直接从逻辑层面把两个权益给拿下的,但是搞了半天搞不定,技术不到家,但是拿到了 sign 的原文组合方式。
后面尝试搜索证书的位置,一开始在 dll 里面找有没有硬编码,发现没有,开始搜索所有文件内容,发现其证书是在文件直接保存的,所以可以直接替换,于是在哈基米的帮助下做了一个用 MITMProxy 拦截并修改请求的启动器,成功拦截了登录短信发送、登录请求和权益获取请求,并用 mock 数据返回,于是就成功 get 到了权益(>‿◠)✌️
注:我是有这个软件的权益的,只是想试试而已
题外话:这个软件能看出是 vibe coding 产物,说实话,AI 是真的很不注意安全这一块,我抓包的时候还发现他的短信登录接口没做验证码,可以直接用,奈何小软件,还是跟作者说一下这个问题吧,别让人破费了╮(╯▽╰)╭
后面尝试搜索证书的位置,一开始在 dll 里面找有没有硬编码,发现没有,开始搜索所有文件内容,发现其证书是在文件直接保存的,所以可以直接替换,于是在哈基米的帮助下做了一个用 MITMProxy 拦截并修改请求的启动器,成功拦截了登录短信发送、登录请求和权益获取请求,并用 mock 数据返回,于是就成功 get 到了权益(>‿◠)✌️
注:我是有这个软件的权益的,只是想试试而已
题外话:这个软件能看出是 vibe coding 产物,说实话,AI 是真的很不注意安全这一块,我抓包的时候还发现他的短信登录接口没做验证码,可以直接用,奈何小软件,还是跟作者说一下这个问题吧,别让人破费了╮(╯▽╰)╭
Microsoft Authenticator 将强制清除越狱及 Root 设备上的企业账户凭据
Microsoft Authenticator 已对越狱或 Root 的 Android 及 iOS 设备启动强制清除企业账户凭据流程,操作分警告、封锁访问、清除凭据三步,用户无法选择退出。Android 设备清除流程已在进行中,iOS 设备将于 2026 年 4 月跟进,整体计划于 2026 年 7 月完成。
Microsoft 未披露具体检测机制,GrapheneOS 等其他移动操作系统是否受影响亦未获官方说明。
The Register
🍀在花频道 🍵茶馆聊天 📮投稿
Microsoft Authenticator 已对越狱或 Root 的 Android 及 iOS 设备启动强制清除企业账户凭据流程,操作分警告、封锁访问、清除凭据三步,用户无法选择退出。Android 设备清除流程已在进行中,iOS 设备将于 2026 年 4 月跟进,整体计划于 2026 年 7 月完成。
Microsoft 未披露具体检测机制,GrapheneOS 等其他移动操作系统是否受影响亦未获官方说明。
The Register
🍀在花频道 🍵茶馆聊天 📮投稿
#日常 我觉得差评说的很对了,很多人都是跟风去装这个东西的,但是真的会用吗,不见得
在现在这个时代,有多少人是真的会用 LLM 的,我所见的很多人连问题都问不明白,基本的指示都不会下,何谈会用 LLM,更不用想能用明白这个小龙虾了
https://mp.weixin.qq.com/s/o5eKaZK6Nkb9Q31aAnEf9A
在现在这个时代,有多少人是真的会用 LLM 的,我所见的很多人连问题都问不明白,基本的指示都不会下,何谈会用 LLM,更不用想能用明白这个小龙虾了
https://mp.weixin.qq.com/s/o5eKaZK6Nkb9Q31aAnEf9A
