越来越多接受过安全意识培训的员工不再轻易点击邮件中的可疑链接，但是网络钓鱼攻击者又找到了新的方法：二维码钓鱼邮件。 近日，安全公司Inky的研究人员发现，网络钓鱼攻击者开始发送大量包含二维码图片的钓鱼邮件，这些电子邮件将二维码嵌入邮件正文，以成功绕过安全保护，并可针对目标进行某种程度的定制，从而更容易欺骗收件人。 研究人员表示，在许多情况下，这些钓鱼邮件来自收件人工作的企业内部被盗电子邮件账户，这种来自内部（可信）邮件地址的钓鱼邮件会进一步提高攻击的成功率。 Inky检测到的二维码钓鱼邮件的主题大多是要求员工解决安全问题（下图），例如缺少双因素身份验证注册或更改密码，并警告如果收件人未能及时操作，可能会产生后果。上当受骗的员工会用手机扫描邮件中的二维码并被引导至一个伪装成该公司合法站点的钓鱼网站，用户在钓鱼网站输入的账户密码会被发送给攻击者。 研究人员指出，此类二维码钓鱼邮件多为“喷射攻击”，攻击者会将邮件发送给尽可能多的目标用户，以期待提高攻击成功率。Inky的研究人员观察到多个行业都受到了二维码钓鱼邮件的攻击。在Inky检测到的545封二维码钓鱼邮件中，目标受害者主要位于美国和澳大利亚，其中包括非营利组织、多家财富管理公司、管理顾问、土地测量师、建材公司等。 二维码钓鱼邮件的两大特点 首先，二维码钓鱼邮件邮件不包含任何文本，只有一个图片文件附件，能够绕过基于文本分析的电子邮件安全方案。由于默认情况下，某些电子邮件程序和服务会自动直接在正文中显示附件图片，收件人通常不会意识到自己看到的邮件“正文”实际上是图片（不包含文本）。 二维码钓鱼邮件的另一个显著特征是：图像中嵌入了一个二维码，指向凭证收集站点。这加快的访问钓鱼站点的速度，并能够有效降低员工意识到问题的可能性。二维码指向的钓鱼网站往往还会在登录框的用户名字段中预填收件人的电子邮件地址，这进一步产生安全错觉，让员工相信钓鱼网站是合法站点。 对于注重隐私的人来说，修改电子邮件设置阻止加载远程存储的图像不但是可行的，而且是值得推荐的。钓鱼邮件攻击者通过使用外部图像来确定他们发送的消息是否已被打开，因为收件人的设备会与托管图像的服务器建立连接。一些电子邮件服务，例如Gmail和Thunderbird不会在正文中显示附件图片，但其它很多邮件客户端或服务会显示图片附件。如果可能，建议企业和个人关闭此类客户端或服务的图片显示功能。（编者：禁止在电子邮件正文中显示图片是柄双刃剑，可能会产生用户体验问题或麻烦。） 二维码钓鱼邮件的防范 对于二维码钓鱼邮件的防御，安全专家们给出如下建议： 格外警惕含有二维码的电子邮件 通过其它渠道（即通过电子邮件以外的渠道）与发件人核实，确认消息是否真实 小心检查发件人地址，确保电子邮件来自其声称的地址 单击电子邮件正文，查看是否可以复制和粘贴文本。如果没有可复制的文本，需要格外警惕 在相关网络安全意识培训中增加对新型钓鱼邮件内容和攻击方法的培训内容 人们往往误以为络钓鱼攻击并不复杂，只要稍加注意（培训）就能避免上当受骗。事实上，调查研究表明网络钓鱼是网络攻击最有效和最具成本效益的手段之一。根据AGG IT Services的数据，全球每天发送高达34亿封垃圾邮件，而Tessian的数据显示，四分之一的员工表示他们在工作中点击过网络钓鱼电子邮件。 无论企业投入多少预算构筑强大的网络安全防线，都可能因为一封钓鱼邮件而土崩瓦解。因此，企业安全团队需要对新型钓鱼邮件攻击的技术和策略保持高度关注。  ...

测试小程序的逻辑漏洞经常会遇到sign签名标识，若不知道sign的生成方式，只篡改参数的值无法修改sign的值，那么漏洞测试就很难进行下一步。本篇分享将围绕如何绕过小程序sign标识展开 漏洞前言： 测试小程序的逻辑漏洞经常会遇到sign签名标识，若不知道sign的生成方式，只篡改参数的值无法修改sign的值，那么漏洞测试就很难进行下一步。本篇分享将围绕如何绕过小程序sign标识展开。 0X01 Sign定义： sign一般用于参数签名，用来验证数据的完整性和真实性。为校验客户端数据传输合法性，防止用户篡改参数、伪装、重放以及数据泄露等常用sign签名校验。sign标识生成方法一般是是将秘钥、时间戳、特殊字符、随机数等参数经过特定排序后使用某种加密算法进行加密，作为接口中的一个参数sign来传递，也可以将sign放到请求头中。是 一般加密方法有：MD5加密、AES加密、SHA加密等。 绕过sign验证常见手法： 1、观察sign的格式，测试判断是否是弱凭据的形式，比如是base64编码，解码后就可以看到原始数据；或者是MD5格式可以直接解密尝试，是否能解密出原始数据等等。 2、尝试将sign字段删除或者直接置空sign的值，看能否绕过校验。 3、尝试反编译，在反编译出来的源代码中查找加密算法，找到sign的生成方式。 0X02 测试涉及到的工具： 解密小程序源码工具：https://share.weiyun.com/uMqNGOXv 反编译小程序工具：https://github.com/ezshine/wxapkg-convertor/releases/tag/1.0.1 0X03 测试细节： 1、 测试小程序 打开某某小程序，抓包，任意更改参数发包会报错，发现添加了sign字段。 直接更改其中的参数发现报错： 尝试直接删除sign字段，报错： 尝试解密sign，看是否是弱加密。经过观察发现是32位数猜测是MD5加密，解密发现解不开。 尝试无果后，尝试反编译小程序，看能不能找到sign的生成方式。 2、 反编译小程序 首先需要找到该小程序存储位置，针对windows端来说，微信小程序默认的存储位置（C:Users{系统用户名}DocumentsWeChatFilesApplet{小程序ID}），因为这里存储都是以小程序ID进行命令的，因此可以先清空微信中的小程序，再去打开想要测试的小程序。 需要注意的是，一定要等小程序完全打开并且再点几个功能，确保将所有包都运行。找到对应的wxapkg查看是否可以直接反编译，有些会有加密，这时先使用工具Unpacker解密，再使用wxapkgconvertor工具将包反编译出来。 解密后使用反编译工具进行源码提取： 3 、全局搜索加密函数位置 打开反编译后的源码，全局搜索MD5，找到了主要的加密sign的代码如下： 加密sign主要函数内容如下： 先遍历对象t，将其中给的参数进行整理，将其中属性是"biz_content"的重新赋给变量r，并且将r的参数属性从json格式转换为对象类型。整合后以字符串的形式以 “&” 连接，将字符串再连接一个预设的值 “ihos-mini-sign-8”。按照字母升序的方式排列，排列后使用MD5的方式加密再转为大写即可。 4 、回调代码 分析完主要加密函数后就可以回调，找对应的函数和参数。 回溯源码看哪里调用了encryptSign，搜索encryptSign查到gatewayRequest函数。继续跟进。 继续跟进函数gatewayRequest找到如下源代码： 继续跟进： getPatInfoByIdNo 发现传入n是个常量 r是个对象，最后转化为xml格式。 继续跟进generateRequest。 跟进l函数： 找到了sign生成函数里各个参数代表什么。 特殊字符：ihos-mini-sign-8 5 、得到sign生成方式 根据主函数推测sign的生成方式，回到第一步的代码，将这些参数按照字母升序排列。 获取到最终的sign生成方式如下： app_id + method(接口，根据这个来分辨调用哪个接口)+ nonce_str(时间戳) + biz_content内容 + token （登录小程序获得）+ 固定值（ihos-mini-sign-8） 6 、测试结果 将这一串字符用MD5加密并转换为大写，就得到的对应的sign值。放进数据包中测试篡改成功，截图如下。 0x04 总结 小程序测试中碰到sign标识可以先测试是否无效或者是弱加密，如都不是可以尝试通过对源码分析找到sign的生成方式，可以应用在修改支付金额、越权等漏洞更进一步提升危害。 0x05 拓展--burpy插件使用 在安全测试中，遇到类似上述讲解中数据包中使用sign签名，在分析加密方式后，不管是自己写脚本或通过网站加解密再粘贴到burp中进行测试，都十分麻烦。因此，可以考虑结合burpy插件来进行漏洞测试。 在Burpy PY file path:里面指定好你自己的python脚本。Burpy也提供了脚本模板，可以直接在它的脚本模板中进行加解密算法 （1） 打开enable processor之后，在使用Intruder进行暴力破解之类的动作时，如果payload需要进行加密或签名，就可以把加密/签名的算法实现到自己有python脚本的processor函数中。 （2） 打开enable autoenc/dec会自动调用encrypt方法，在点击重放时自动进行加解密。 设置好之后，点击start server后，就可以开始正常测试了。 编写脚本： 插件运行： 关闭enable auto enc/dec的话，可以右键加解密 开启后无需右键操作，重放会自动进行加解密操作。 原文链接：https://forum.butian.net/share/2342...

5月中旬，一个被盗的数据库出现在暗网上，内容是《瑞士评论》（Swiss Review）订阅者信息的外部下载链接。这是一份联邦政府杂志，可以让国外的瑞士公民了解本国的最新动态。 这个数据库很全面，它包含超过42.5万个地址，其中40%是邮政地址，60%是电子邮件地址。任何在瑞士注册为海外公民的人都会自动通过电子邮件或邮寄方式收到《瑞士评论》。据外交部称，80万海外瑞士人中只有33万没有选择接受《瑞士评论》——其中包括讲意大利语的瑞士人。 瑞士外交部在处理这些地址时遵守所有数据保护规则，因为这些数据不是自愿提交的，它来自瑞士驻外领事馆。 任何在瑞士注销身份登记的人都有义务向相关瑞士代表处申报其在国外的居住地。这创造了《瑞士评论》的订户基础。 任何人都不能访问 瑞士政府认为这些数据非常敏感，甚至连《瑞士评论》的出版商SwissCommunity都无法获得这些数据。 但是，现在正是这些数据库可以在暗网中找到——或者至少是其中的一部分，具体情况尚不清楚。暗网是互联网中普通计算机用户无法访问的部分。 “联邦外交部不知道实际上有多少数据被窃取。”外交部写道。 联邦数据保护和信息专员阿德里安·洛比格（Adrian Lobsiger）表示：“非自愿收集的数据以这种方式公开，这一事实令人非常遗憾。”他正在呼吁让受影响的人得到通知。 已经提交了一份刑事投诉，网络安全专家正在进行调查。 网络攻击的副产品 但是，这怎么可能发生呢？简单地说，海外瑞士人的425000个地址是对两家瑞士出版社（NZZ出版集团和CH Media）进行勒索攻击的副产品。这两家出版社的数字基础设施是相互联网的。 对这次攻击负责的犯罪组织自称“Play”。这是一个活跃于国际舞台的黑客组织，据说与俄罗斯有联系。2023年5月3日，“Play”在暗网上公布了从瑞士出版集团CH Media窃取的大量数据。 公布窃取的数据是勒索扑克游戏的一部分，这在黑客所谓的勒索软件攻击中很常见。他们的做法冷酷而奸诈。 首先，犯罪分子侵入公司的IT系统。然后他们经常加密受害者的数据。与此同时，他们威胁要公布敏感数据。如果被勒索的公司拒绝支付赎金，数据记录就会发布在暗网上。 受攻击的公司表示，他们尚未支付赎金。 NZZ和CH Media数字生态系统遭受的攻击发生在3月底。据编辑部主任马克·莱托（Marc Lettau）称，《瑞士评论》编辑部也因编辑系统中断而受到了此次攻击的影响。《瑞士评论》也通过其IT基础设施与受到攻击的环境相连。 2023年5月3日，即“Play”公布被盗数据的当天，CH Media通知其IT客户。合作伙伴公司了解到客户数据也受到了影响。此消息也被发送至《瑞士评论》。 到5月中旬，很明显，这些数据包括《瑞士评论》订阅者的详细地址信息。每年六次，当该杂志印刷时，瑞士外交部会将这些数据发送给负责发送《瑞士评论》的印刷公司。 工作流程中的数据保护？ 此工作流程中是否有数据保护措施？外交部的回应是：“发送是通过加密的政府文件传输进行的。该流量没有受到影响，没有被黑客攻击，也不是数据被盗的对象。根据政府的数据保护规定，这些数据必须以加密的形式存储在印刷公司。” 目前尚不清楚相关数据库最终是否经过加密。CH Media写道：“我们不对个别客户关系发表评论。” 针对瑞士公司的勒索攻击 外交部上周才发表声明，即在泄密事件发生六周后。其中的核心要点是：除了地址之外，印刷公司不掌握任何个人数据。 显然，外交部几周来一直在努力做出正确的评估和正确的沟通。但专家们确信：“错误不在于政府，”《Inside-IT》杂志主编雷托·沃格特（Reto Vogt）表示。他说，政府以其对数据保护的敏感态度而闻名。“这一特殊案例可能只是运气不好。” 电子投票面临风险？ 然而，这次攻击有可能引发有关瑞士电子投票系统的安全争论，该系统于2023年重新推出。新系统的首次试用伴随着瑞士发生的几起网络攻击，引起了人们的关注。 除了勒索出版商之外，“Play”还对瑞士IT公司Xplain发起了一次惊人的攻击。该公司为瑞士司法和警察当局提供软件。 这次勒索软件攻击也导致了敏感数据的发布。受影响的包括军队、联邦海关和边境安全局以及联邦警察。调查仍在进行中，损坏程度尚无法确定。 六月初，另一个黑客团体使瑞士重要网站瘫痪。这次袭击是由亲俄组织NoName发起的，是对乌克兰总统泽连斯基在瑞士议会的视频演示的回应。 许多州的网站以及联邦政府和瑞士证券交易所的网站都受到了攻击。这些攻击的原理是不同的。它们被称为DDoS攻击，包括精心策划的大规模调用流量访问网站，使其不堪重负，导致网站暂时瘫痪。 无论勒索软件攻击和DDoS攻击都与电子投票技术没有直接关系。然而，如果此类攻击频繁发生，就会产生后果。IT企业家格吕特（Franz Grüter）表示：“即使这一事件与电子投票系统没有直接联系，随着每一次额外的网络事件的发生，人们对国家IT系统安全性的信心也会下降。” “可疑的安全思维” 对于格吕特来说，这些事件“让人们对政府的安全思维产生了怀疑”。格吕特是议会的人民党议员，对电子投票持怀疑态度。他认为这次事件很严重，并指出，在选举年，可购买的包含所有海外瑞士人地址的数据集特别有价值。“有人可以利用它来进行非常有针对性的选举广告。” 瑞士外交部写道，它“不知道这些数据目前是否在暗网上被提供”。...

操作方法 1将源码上传至服务器或虚拟主机 2修改目录下config.php文件里需要对接的平台地址 uid 和key 完成后即可访问域名看效果...

今天分享的这个方法很简单，但是非常实用，就是通过今日头条等平台寻找一些精准鱼塘，然后混进他们的微信群，再通过一些技巧方法在群里精准引流。 01 首先进入今日头条，我们要通过搜索关键词的形式去寻找鱼塘，千万不要直接搜索：祛痘、祛痘产品之类的，否则你找到的都是同行，而同行的群是很难混进去的，或是粉丝质量是很差的，因为粉丝们早被割得体无完肤了…… 拿我们猫客CPS卖的祛痘护肤产品举例，我们要顺着用户关心的关键词去搜索，比如搜索一些长尾关键词：如何快速祛痘?什么产品祛痘效果好?芦荟胶可以祛痘吗?激光祛痘需要多少钱?等等。这样就能发现用户他们浏览了哪些信息?进入到哪些鱼塘?然后你也进入到这些鱼塘里，这样你就可以在鱼塘里面捞鱼了。 这些长尾关键词可以通过百度下拉框搜集，或是上5118提取一批下来，再丢到今日头条上搜索即可。当用户搜索这些关键词的时候，今日头条给用户展现的全部都是祛痘护肤相关的文章，这个时候你要用心翻看每一篇文章，看看结尾有没有留下微信号或是公众号?如果有的话，直接加他们的微信就可以了，如果没有，直接给他们私信发一句话：看了你的今日头条文章收获非常大，请问可以加你的微信吗?或者说可以认识你吗?之类的话术…… 我保证，当对方收到私信的时候，一定会迫不及待把自己的微信号发给你的，为什么?因为他们之所以在今日头条上输出这样的文章价值，肯定不是活雷锋，肯定也是来涨粉引流的，他们背后的目的可能是要卖货，或是做社群，卖课程，卖资源等等…… 比如你一共找了100个人，顺利加上了50个人的微信，这时候我们就要找他们聊天了，看看他们有没有我们需要的精准微信群?也就是客户所在的社群。我建议，你第一步可以先翻看对方的朋友圈，看看他朋友圈有没有发一些群招募的广告出来，如果发现有的话，直接截图去问他多少钱加入，直接开门见山。然后他就会跟你说多少钱加入，这时候你要问他，这个群目前有多少人?为什么要这样问?因为如果群里的人太少，而加入的费用又要一两百甚至好几百的话，那就不划算了。相反如果群里有两百人，或是五百人，那就是非常值得加入的。 然后你还要问他，群里大家能互相交朋友吗?千万不要傻傻的问人家群里能不能加好友，能不能爆粉，这样别人看穿你的目的肯定不让你进入的。不过如果社群介绍写有允许大家整合人脉，那你就不用去问了，这就说明群里是可以互相加好友的。 02 第二步，我们就要开始混群引流了。首先同行的群，你不要想着发广告引流，不仅效果微乎其微，还会被群主移出群聊，得不偿失。我建议，前期可以不用说话，潜伏在里面每天主动加人就可以了。加谁?非常简单，你看到谁说话你就去加谁! 为什么这样干?因为说话的人你去加他，他会有一个认知，他会觉得你是因为对我讲话有兴趣，我讲的话让你有兴趣了，所以你才来加我，所以他比较容易通过你，明白不?但有时候假如没什么人说话你也可以加，但是要从后面往前面加。因为前面可能都是管理员，那些你就别去加了，打草惊蛇就惨了。 有些群里可能管得没那么严，你想在里面混群引流，你可以偶尔发言一下，那么如何发言呢?其实很简单。首先你要修改一下群名片，改成一个可以吸引到精准用户的名字。比如我混进了一个WZ创业类型的微信群，我可以把我的群名片改成：剑眉大侠-擅长全网精准引流。 这样就可以吸引对引流感兴趣的人加我，懂吧? 那如果你是卖祛痘护肤产品的，你混进了一个美妆护肤的交流群，你可以把名片改成：XXX-七年专注于祛痘护肤之类的。这样就直接抓住了用户的痛点，只要你在群里发言，所有人都可以看到你的广告昵称，只要别人有祛痘护肤需求，都有可能会加你好友。 有一招更好用，就是微信的拍一拍功能： 有事没事拍一拍自己，你懂的…… 03 第三步，我们要学会捧群主，也就是夸群主。因为你的昵称广告太明显了，可能还是会引起群主的注意和反感，如果被群主强制要求你修正就惨了，所以一定要给群主留一个好印象。你不需要在群里说你是干嘛的，因为你的群名片已经说明你是干嘛的了。你可以发言说我看了群主在今日头条写的XX文章收获非常大，我今天有3点收获要分享一下……然后明天群主更新了新的今日头条文章，你又写一下，我今天有2点收获要分享一下…… 每次都去写一下，不仅可以得到广告曝光，还可以让群主喜欢你，因为你经常在群里夸群主，他觉得很有面子，群里又可以活跃起来，他舍不得踢掉你。同时，还会让那些有痛点需求的潜在用户对你产生信任，想要加你为好友，向你请教问题…… 混群大概就这个步骤，只要熟练了操作起来非常简单，并且效果是非常好的。只要加上了好友，成交只是顺其自然的事情，因为你的朋友圈一直在输出价值，一直在发广告，只要你的东西确实好，文案各方面给力点，转化变现就是水到渠成的事情! 引流最忌讳眼高手低，看完要马上行动哦!!! 作者：剑眉大侠...

在最近的Syxsense Synergy活动中，网络安全专家深入研究了端点安全管理所面临的不断变化的挑战。随着云技术的日益复杂，物联网的进步，以及大量远程工作的出现，网络安全的形势变得比以往任何时候都更加错综复杂。 这些专家阐述了这一领域出现的紧迫问题。根据企业战略集团（ESG）进行的一项调查发现，目前平均每个用户拥有大约七台设备用于个人和办公。 此外，ESG的调查显示，企业内采用的安全和终端管理工具的数量与所经历的违规事件的频率之间存在明显的联系。在接受调查的企业中，6%的企业使用的工具少于5个，而27%的企业使用5至10个工具。33%的企业采用了11至15种工具，而其余的企业则采用了15种以上的工具来管理其端点安全。 了解端点的概念以及为什么他们的安全在远程工作中很重要？ 这里的端点包括各种与计算机网络建立连接的物理设备，促进信息的传输。这些设备的范围很广，这其中包括移动设备、台式电脑、虚拟机、嵌入式设备和服务器。 此外，这些端点还延伸到了物联网（IoT）设备，如摄像头、照明系统、冰箱、安全系统、智能扬声器和恒温器。当一个设备在建立网络连接时，设备（如笔记本电脑）和网络之间的信息传输可以使两个人之间通过电话进行的对话联系起来。 端点由于其脆弱性以及作为企业数据网关的重要地位，成为网络犯罪分子的诱人目标。随着员工办公场所变得非常的分散，保护端点已变得越来越具有挑战性。小型企业也尤其脆弱，因为它们可以作为犯罪分子针对大型组织进行攻击的切入点，而这些组织往往缺乏强大的网络安全防御措施。 数据泄露对企业来说具有经济上的破坏性，全球平均成本为424万美元，美国为905万美元。与远程工作有关的漏洞产生的额外平均成本为105万美元。大多数违规成本要归因于业务损失，包括客户流失、系统停机造成的收入损失，以及重建声誉和获取新客户的费用。 随着劳动力的流动性越来越强，企业会面临着一系列的端点安全风险。这些常见的威胁包括： 网络钓鱼：一种操纵个人泄露敏感信息的社会工程攻击方式。 勒索软件：对受害者的数据进行加密并要求释放赎金的恶意软件。 设备丢失：导致数据泄露和潜在的监管处罚，丢失或被盗的设备给企业带来了重大风险。 过时的补丁：未能及时应用软件更新，使系统易受攻击，从而被恶意攻击者利用。 恶意软件广告（malvertising）：在线广告被用来作为传播恶意软件和破坏系统的媒介。 自动下载：在用户不知情或不同意的情况下，自动将软件下载到设备上。 Syxsense创始人兼首席执行官Ashley Leonard认为，与端点安全相关的问题越来越多，其背后最主要的原因是缺乏系统的安全培训。如果人们没有经过适当的培训，没有掌握他们的端点和安全工具，你就会发现设备和系统配置错误，没有得到适当的维护，并且没有部署关键的补丁。 文章来源：嘶吼专业版    ...

简单介绍： 在一次某行动暂停之后，某单位重新对自身的业务进行了评估，系统业务使用SSO进行登录，而这个SSO登录后的子系统访问采用JWT进行认证，因此有了这一个漏洞的发生，漏洞利用较为简单，各位师傅请见谅。  Oracle WebCenter在这个业务中，登陆口的校验是采用Oracle WebCenter进行认证的，也就是说在系统最初的登录，流量是走到Oracle WebCenter中进行认证的。Oracle WebCenter是面向社交业务的用户参与平台。其上下文相关的协作工具可优化人员、信息和管理软件间连接，帮助员工更高效地协作，并可确保用户在其所处的业务流程环境下访问适当的信息。简单的来说它有点像一个简单的OA系统。  JWTJTW全程是Json Web Token,是目前最流行的跨域认证解决方案。之前遇到的JWT漏洞情况，可能大多数都是在一开始的登录验证下，通过修改token字段以三个点分割的BASE64字符串。第一个字符串为JWT头，一般base64解码后长这样  {“kid”:”keys/3c3c2ea1c3f213f649dc9389dd71b851",”typ”:”JWT”,”alg”:”RS256"} 第二个字符串为账户 {"sub":"admin"} 第三个字符串为签名签名一般不能直接用base64解出来，因为它可能常带有下划线，签名获取的过程稍微比较复杂，不过我们可以知道签名是为了防止数据被篡改，而签名使用的算法就是我们的哥字符串JWT头的Json字段alg。 大部分JWT常用的三种关于利用Token的攻击方式：未校验签名，禁用hash，爆破弱秘钥此部分内容可以参考https://xz.aliyun.com/t/2338其中，未校验签名的情况，我们可以直接修改的那个账户字符串，既 {"sub":"xxxx11111这里修改，然后重新生成Token，如果没有校验签名则可以进行越权"} 禁用Hash,既第一个JWTheader头的alg值为None,我们可以将HS256篡改为None，然后使用Python pyjwt进行Token的生成。 最后爆破弱秘钥是最常见的，也是比较现实的一种情况利用脚本来进行爆破 https://github.com/ticarpi/jwt_tool 本次的场景 首先打开网页，需要通过SSO的oracle webcenter认证，在进入系统中，存在许多业务，而对于子业务系统的认证，则采用的是JWT的认证。接下来将从流程来讲解此次漏洞的挖掘。 1、因为这里没有截图了，所以只能用文字描述。首先，在进入系统后，很多业务选项按钮，比如物流系统，金融系统。我们点击金融系统的时候，会发出第一个包，通过Oracle Webcenter来校验当前账户是不是有效，如果有效，则返回一个Json格式的S。 2、在验证了当前的账户有效的时候，会发出第二个包，请求一个OAM接口想获取一个JWT token，这个OAM接口会带上Cookie字段的Sessionid值，证明自己账户现在的状态真的是有效的，当这个OAM接口后接受SessionId的值后，就会返回一个JWT authorizationToken值。 3、当获取了JWT authorizationToken值后，证明JWT认可了你这个账户了，那么此时系统在第三个包发生的时候自动带上JWT authorizationToken字段放到header头去请求资源，此时系统返回UID等敏感信息 4、没错！越权来了。第三个包返回的信息其中的UID和JWT authorizationToken作为凭证来对这个子业务系统进行访问。但是这里的UID和JWT authorizationToken并没有做严格校验，导致可以通过遍历UID来实现越权访问 看到这个是不是就是我们非常熟悉的JWT认证Token值，以点分割三个成三个的base64编码字符串，这个User Token作为这个子系统访问认证的最后一关 5、其实到第4步的时候，漏洞利用就结束了，其实就是一个简单的越权而已，但是我想把后面的几个过程也简单一下。既然成功越权了，那么这一步系统就开始逐渐返回属于这个系统原本的东西了。这里利用UID和Token获取系统的分组权限信息。 6、获取此账户在这个系统中未读取得信息 7、在get请求处获取了UID值，为了获取菜单信息。而我们也可以通过此处的越权，更方便的爆破ID。 8、获取baseinfo，账户的基本信息，内容   9、最后一个包，获取剩余信息，例如按钮，选项之类。 因此整个利用的漏洞非常简单，通过第7步的API来进行爆破，然后再逐步放入第4步的UID修改包中，那么就可以实现对此子业务系统的任意用户登录了。 越权前后的两个截图比较，多了两个功能，并且两张图的账户名都为AAA，原因是因为auth Token记录的第二个base64字符串记录的就是账号信息，而这个账号信息从始至终都未改变，因此账户名不变，而权限管控在UID部分。也是比较不应该了。 修复 恢复authorizationToken，同时校验uid、user、authorizationToken中的用户是否一致在渗透测试的时候，尽量不要放过每一个包，多看看抓包的history的记录。对于菜鸡来说，渗透就在于细心与更细心罢了。     原文于：https://xz.aliyun.com/t/8288原文作者：Icepaper...

毕业生盗取全校学生信息？中国人民大学最新通报； 7月1日，有网友发文称，中国人民大学一硕士毕业生盗取全校学生个人信息，制作颜值打分网站供人查看，被泄露的信息包含学号、姓名、学院、家乡、生日等。“人大泄露信息”话题登上热搜，引发广泛关注。 网友发文称，该男生在校期间利用自己的专业技能，盗取了学校内网的数据，收集了全校本硕博学生的个人信息，包括照片、姓名、学号、籍贯、生日等，然后公开发布在一个网站上进行颜值打分。 中国人民大学发布通报： 昨日，学校已关注到我校部分学生信息被非法获取的情况，对此高度重视，第一时间联系警方，目前正积极配合警方等相关部门开展调查。学校强烈谴责侵犯个人隐私、危害信息安全的行为。 感谢社会各界对学校的关心。 7月起 一批网络安全相关新规将开始施行! 7月起，一批网络安全相关新规将开始施行!一起来了解一下↓↓↓ 新修订的《中华人民共和国反间谍法》7月1日起施行 新修订的反间谍法，7月1日起施行。新修订的反间谍法将“投靠间谍组织及其代理人”，“针对国家机关、涉密单位或者关键信息基础设施等实施网络攻击”等行为明确为间谍行为。在“调查处置”一章中，增加查阅调取数据、传唤、查询财产信息、不准出入境等行政执法职权。 新修订的《商用密码管理条例》7月1日起施行 国务院总理李强日前签署国务院令，公布修订后的《商用密码管理条例》，自2023年7月1日起施行。修订后的《条例》重点规定了以下内容：一是完善商用密码管理体制;二是促进商用密码科技创新与标准化建设;三是健全商用密码检测认证体系;四是加强电子认证服务使用密码和电子政务电子认证服务活动管理;五是规范商用密码进出口管理;六是促进商用密码应用。 《合同行政监督管理办法》7月1日起施行 市场监管总局修订出台《合同行政监督管理办法》，于2023年7月1日起正式施行。《管理办法》加强了对格式条款的规制，禁止经营者利用格式条款作出减轻或者免除自身责任、加重消费者责任、排除或者限制消费者权益的规定，要求经营者在使用格式条款时应当以显著方式提请消费者注意，切实保障消费者的知情权、自主选择权等权益。 新版《中华人民共和国无线电频率划分规定》7月1日起施行 日前，工业和信息化部发布了新版《中华人民共和国无线电频率划分规定》，将于7月1日起正式施行。在本次《划分规定》修订中，工业和信息化部率先在全球将6425-7125MHz全部或部分频段划分用于IMT(国际移动通信，含5G/6G)系统。6GHz频段是中频段仅有的大带宽优质资源，兼顾覆盖和容量优势，特别适合5G或未来6G系统部署，同时可以发挥现有中频段5G全球产业的优势。 新型进网许可标志正式启用 工业和信息化部近日发布《工业和信息化部关于启用和推广新型进网许可标志的通告》，决定启用和推广新型进网许可标志，逐步替代原纸质标志。2023年7月1日起，正式启用新型进网许可标志。2023年7月1日至12月31日期间，生产企业可以向工业和信息化部(电信设备认证中心)申请使用新型进网许可标志，也可以继续申领、使用原进网许可纸质标志。2024年1月1日起，全面推广新型进网许可标志。届时，将不再核发原进网许可纸质标志，此前已核发的纸质标志在进网许可有效期内仍然有效，可继续使用。 《人类遗传资源管理条例实施细则》自7月1日起施行 细则明确中央和地方在人类遗传资源管理方面的职责，推动建立一体化的监督管理机制;明晰管理界限，强化关键环节管控;在行政许可、备案、安全审查各个环节完善程序性规定，强化监督检查和行政处罚的具体措施。采集我国人类遗传资源，应当事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利，征得人类遗传资源提供者书面同意。 《广州市快递条例》7月1日起实施 《广州市快递条例》于7月1日起实施。《条例》规定快递企业使用智能快件箱、快递服务站等方式投递快件的，应当事先征得收件人的同意，并告知快件投放的地址、免费保管期限以及超时保管收费标准等信息。 《浙江省数据知识产权登记办法(试行)》7月1日起施行 《浙江省数据知识产权登记办法(试行)》将于今年7月1日起施行，这是全国首个数据知识产权领域规范性文件。《登记办法》是浙江省构建数据基础制度的一项重大制度创新，对数据知识产权登记主体、客体、原则、程序、登记证书效力及部门职责等作出全面规范，为数据知识产权登记提供了制度保障。...

  围观地址：https://weibo.com/2479238731/N7y1D29Ma ...

课程介绍 Nacos官方社区核心贡献者授课，带你高效 Get相关知识点，Nacos作为一个开源的动态服务发现、配置和服务管理平台，在微服务架构中扮演着重要的角色。本文将深入解读Nacos的核心原理，并探讨其在微服务架构中的应用和优势。...

通过百度网盘分享的文件：苹果小游戏无限撸... 链接：  提取码：0000  复制这段内容打开「百度网盘APP 即可获取」...

前言：为什么要自己搭建网盘，现在许多大厂的网盘，文件都添加了许多限制，有好多文件会遭到和谐，而且大部分网盘也都会限速，不开通VIP是很难用的！【这套网盘不仅文件不会和谐，而且还会给部署运营的带来盈利和流量】 大家好，今天给大家带来一套可以运营的网赚网盘，代码无加密可以进行二次开发。下载UI和城通网盘差不多，还有一套蓝奏云的下载UI 首页也是进行美化了，用户登录可以实现公众号扫码登录，下载也可以设置限速，开通会员，还有在线转存功能。下载页面带有二维码自动获取。 链接格式和蓝奏云一样，防止自己存的文件被盗用，  像一般的下载链接格式：域名/s/123456，然后就是继续排序域名/s/1234567这类型的， 现在链接是域名/s/随机数   好了，废话不多说直接开始部署搭建   1.先把源代码下载下来，把域名解析到服务器   把文件上传到服务器，这里我用的面板就不用宝塔了，用cpanel   先把域名解析到服务器，解析了pan.99x.top这个域名到116.206.106.72这个服务器，然后上传网盘源码   解析以后在面板绑定域名，好了域名绑定上了，现在就等解析生效，我们先把网盘源码上传进去，   上传进去我们设置运行目录为public， PHP版本7.2   这里说明伪静态： Apache伪静态 <IfModule mod_rewrite.c>  RewriteEngine on  RewriteBase /  RewriteCond %{REQUEST_FILENAME} !-d  RewriteCond %{REQUEST_FILENAME} !-f  RewriteRule ^(.*)$ index.php?s=/$1 [QSA,PT,L] </IfModule>   nginx伪静态   location / {     if (!-e $request_filename) {     rewrite  ^(.*)$  /index.php?s=/$1  last;     } }...

课程介绍 算法学得好，工作不愁找。不过对于很多非科班出身的程序员来说，学好算法是一件有难度的事情，知识版块多、理论性强、技术落地复杂，付出大量精力仍不一定学得好。本课程由兼具丰富信息学竞赛辅导经验+多年大厂从业经验的老师设计并讲解，在系统化梳理算法中高阶知识框架的基础上，结合实际工业需求与编程实践，带大家在吃透高难理论的同时掌握其真正优质的应用实践。...

据报道，西门子能源公司德国慕尼黑和施耐德电气公司法国吕埃尔-马尔迈松这两家关键基础设施行业的工业控制系统（ICS）供应商已被网络犯罪团伙CL0P列为勒索软件受害者，但是否有针对性的攻击尚未得到证实。 该勒索软件团伙（也称为TA505）从2023年5月27日开始利用MOVEit Transfer（一款面向互联网的自动文件传输Web应用程序）中的漏洞，据报道该团伙已经列出了全球数百家公司的名单。据威胁网络安全情报平台FalconFeeds6月27日在推文中称，CL0P勒索软件组织在其暗网泄密网站中将西门子能源、施耐德电气和其他一批实体列为新的受害者。 > CL0P [\#ransomware](https://twitter.com/hashtag/ransomware?src=hash&ref_src=twsrc%5Etfw) group has added five new victims: > > – > – Schneider Electric () > – Siemens Energy () > – UCLA () > – Abbie ()[\#MOVEIT](https://twitter.com/hashtag/MOVEIT?src=hash&ref_src=twsrc%5Etfw) [\#Cl0p](https://twitter.com/hashtag/Cl0p?src=hash&ref_src=twsrc%5Etfw) [\#DarkWeb](https://twitter.com/hashtag/DarkWeb?src=hash&ref_src=twsrc%5Etfw) [\#DeepWeb](https://twitter.com/hashtag/DeepWeb?src=hash&ref_src=twsrc%5Etfw) [\#CyberRisk](https://twitter.com/hashtag/CyberRisk?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/mTpLZdCzbW](https://t.co/mTpLZdCzbW) > > — FalconFeedsio (@FalconFeedsio) [June 27, 2023](https://twitter.com/FalconFeedsio/status/1673604012460118016?ref_src=twsrc%5Etfw) 西门子能源公司在一份声明称，它已了解这一预警，并将继续与政府合作伙伴和客户密切合作，以确定这些说法是否属实。“我们拥有一支世界一流的事件响应团队，我们还有一个ProductCERT组织，负责在发生漏洞或攻击事件时进行披露。”一位公司官员指出。 CL0P的阴险手段 CL0P因其使用特定的恶意软件感染MOVEit Transfer的Web应用程序的能力，然后使用该恶意软件从MOVEit Transfer底层数据库窃取数据，而受到美国联邦政府的审查。美国网络安全和基础设施安全局（CISA）和联邦调查局（FBI）在6月7日发布的联合网络安全咨询（CSA）中建议采取行动和缓解措施，以防范先前未知的结构化查询语言（SQL）注入漏洞（CVE-2023-34362）。 CISA表示：“CL0P出现于2019年2月，由CryptoMix勒索软件变体演变而来，在大规模鱼叉式网络钓鱼活动中被用作勒索软件即服务（RaaS），这些活动使用经过验证和数字签名的二进制文件来绕过系统防御。”。 CISA建议采取的防止或减轻影响的步骤包括，统计实体资产和数据清单、仅授予特定的管理权限，以及激活防火墙和路由器等网络基础设施设备上的安全配置。 此外，美国国务院根据正义悬赏的任务，于6月16日悬赏高达1000万美元，奖励那些将CL0P勒索软件团伙或任何其他针对美国关键基础设施的恶意网络行为者与外国政府联系起来的线索。 > Advisory from [@CISAgov](https://twitter.com/CISAgov?ref_src=twsrc%5Etfw), [@FBI](https://twitter.com/FBI?ref_src=twsrc%5Etfw): > > Do you have info linking CL0P Ransomware Gang or any other malicious cyber actors targeting U.S. critical infrastructure to a foreign government? > > Send us a tip. You could be eligible for a reward.[\#StopRansomware](https://twitter.com/hashtag/StopRansomware?src=hash&ref_src=twsrc%5Etfw) [pic.twitter.com/fAAeBXgcWA](https://t.co/fAAeBXgcWA) > > — Rewards for Justice (@RFJ\_USA) [June 16, 2023](https://twitter.com/RFJ_USA/status/1669740545403437056?ref_src=twsrc%5Etfw) 西门子能源公司强调调查正在进行中 ---------------- 西门子能源公司一位官员表示，该公司在工业网络安全方面投入巨资，已立即采取行动，调查小组正在努力核实此次攻击。与大多数行业实体一样，该公司将其官方立场传达给电力信息共享和分析中心（E-ISAC）、北美电力可靠性公司（NERC）的威胁情报共享网络。这位官员表示，西门子能源客户还通过其ProductCERT团队共享信息，该团队管理西门子能源产品、解决方案和服务中所有与安全相关的问题。 这位官员补充道：“随着这些事情的实时发展，我们描述发生了什么以及如何发生的能力将变得更加准确。”“我们正在对CL0P勒索软件组织的帖子进行初步调查和回应。” 这位官员指出，最初的48小时通常涉及“从内部和外部各方收集大量信息，以确保我们如实报告正在发生的情况”。他说：“很可能，在接下来的几天和几周内，更多信息将继续出现，而在幕后，我们将继续直接与我们的行业合作伙伴和客户合作。” OT环境的勒索软件威胁 NERC在其新发布的《2023年可靠性状况》报告中强调了勒索软件对电力行业日益增长的威胁。2022年，虽然没有报告与网络攻击相关的客户或大型电力系统中断的报告，但指定的美国电力可靠性组织（ERO）表示收到了8份网络安全事件报告（CIP-008-6）或攻击尝试。 2022年，勒索软件并未影响大宗电力系统，但E-ISAC警告称，威胁继续针对关键基础设施。联邦实体正在特别关注针对信息技术（IT）和运营技术（OT）环境的勒索软件代码的开发。 NERC指出，勒索软件“继续影响行业和主要供应商”。“虽然经济利益往往是跨国勒索软件团伙的主要动机，但其中一些团伙也可能在俄罗斯等民族国家对手的默许支持下开展活动。” 与此同时，在2022年，联邦调查局收到了800多份来自关键基础设施运营商的勒索软件犯罪投诉。这包括15个来自能源部门的实体，如电力资产所有者和运营商。“顶级勒索软件变种包括LockBit、ALPHV/BlackCat和Hive。勒索软件团伙还针对值得信赖的第三方电力承包商，如工程公司、建筑服务和原始设备制造商。” 该实体表示，E-ISAC在通过全方位公告提高行业对这些事件的认识方面发挥了至关重要的作用。E-ISAC还特别与行业和政府专家合作，制定了“电力行业ICS’ShieldsUp’注意事项”，这是一份针对其成员的通知，旨在协助实体改进对OT恶意软件和勒索软件威胁的响应。此外，CISA最近启动了 #StopRansomware 活动，帮助各种规模的企业和基础设施运营商为此类攻击做好准备。...

台积电遭攻击 黑客用数据威胁索要7000万美元赎金； 2023年7月1日，台积电近日向国外科技媒体TechCrunch证实，公司遭到了网络攻击，部分数据泄露。台积电发言人表示，本次网络安全事件导致“与服务器初始设置和配置相关”的数据泄露，但台积电客户信息并未受到影响。 官方声明如下：台积电经过审查，本次网络安全事件并未影响台积电的业务运营，也没有泄露台积电的任何客户信息。台积电在事件发生之后，立即根据公司的安全协议和标准操作程序，终止与该供应商的数据交换。勒索集团LockBit宣称对本次安全事件负责，官方在其网站上列出了相关数据，并索要700 万美元(约5.08亿元人民币)赎金。 LockBit表示，如果台积电不付款，它还将发布密码和登录信息。LockBit表示相关数据是从Kinmax Technology窃取的，该公司为台积电提供网络，云计算，存储和数据库管理等IT服务。 生成的照片连AI鉴别器都看不出来，AI被自己骗了！ 以假乱真的AI生成式图片，AI自己分辨不出来了。这张马斯克和机器人女友的照片，5个鉴别器里有2个都觉得是真的： 还有这张人类和3米巨人的合照，居然5个鉴别器一致判断为真： 啊这，AI鉴别器似乎不太靠谱的亚子。 这就是《纽约时报》最近做的一项测试，他们找来了市面上五个常见的AI鉴别器，分别喂给它们100多张照片做测试。 结果发现，AI鉴别器不仅会把AI照片错认成真的，也会把真实照片划定为AI生成的。 而且不同鉴别器之间的水平差距也不小。 具体表现如何？一起来看   加点颗粒（Grain）就能骗过鉴别器 在这项测试中一共使用了5个AI鉴别器，分别是：. Umm-maybe Illuminarty A.I or Not Hive Sensity   测试的内容包括AI和人类创作的图片，分别喂给每个鉴别器，看它们会怎样判断。 使用的AI创作工具包括Midjourney、Stable Diffusion、Dall-e等。 《纽约时报》主要展示了这样几个例子。包含5张AI创作的图片，以及2张真人拍的照片。 从统计结果来看，五个鉴别器中只有Hive全部判断正确。 Umm-maybe的表现最差，只判断对了两张图。 举例来看，这张照片是AI生成的，听说还在2月的一场摄影比赛中拿下大奖，这道题就难倒了大部分鉴别器。 但这张纯AI生成的照片，就没有逃过大部分鉴别器的法眼。 对于人类创作的照片，AI鉴别器的正确率比较高，两张照片都只有Umm-maybe鉴别器判断错误。 此外他们还专门测试了艺术画，发现大部分AI鉴别器能判断出这是真人画的。 对比另一幅AI创作的，同样也是四个鉴别器判断正确。 （Umm-maybe啊……是真的不太行）   值得一提的是，如果对AI图像进行一些加工处理，AI鉴别器会失效。 比如这张Nike男的照片，一开始有4个鉴别器判断它是AI生成的。 但如果给图片加一些颗粒，AI鉴别器就会将这张图片的AI含量从99%，判断为仅有3.3%。 最后，我们也测试了一些能上手实测的鉴别器（Umm-maybe、Illuminarty、A.I or Not）。 结果显示，对于“马斯克在苏联”这张图，Umm-maybe觉得它有85%的概率是人类创作的。 Illuminarty觉得它是AI创作的概率仅有5.4%。只有A.I or Not确定了它是AI生成的。 AI鉴别的判断标准是啥？   那么AI到底是怎么鉴别真伪的？ 普遍来说，它们和人类的判断标准不太一样，人类一般以图像内容的合理性为依据，而AI更多是从图像的参数入手，比如像素的排列方式、清晰度、对比度等。 所以这就解释了开头那张巨人照片，为啥所有鉴别器都觉得很真。 在AI画画大火一年多以后，如今市面上已经出现了非常多鉴别器。有的就是直接放在Hugging Face上供大家免费使用，有的则是已经成立公司，只提供API接口形式。比如Hive就是一家提供商业解决方案的公司，从如上的测试结果可以看到，Hive的表现效果也是最好的，几乎都能判断正确。而在这之前他们的主要业务是为平台网站提供数据审核服务，图像视频文字都支持，服务的平台有Reddit、Quora等。. ...

ChatGPT这种通用大语言模型（相比谷歌和微软的网络安全大语言模型）可以根据URL检测网络钓鱼网站吗？近日，卡巴斯基研究人员测试了5265个URL（2322个钓鱼网址和2943个安全网址）。研究人员向ChatGPT（GPT-3.5）提出了一个简单的问题：“此链接是否指向网络钓鱼网站？仅根据URL的形式，AI聊天机器人的检出率为87.2%，误报率为23.2%。”“虽然检出率非常高，但超过两成的假阳性率是不可接受的，这意味着五分之一的网站都会被封锁。”卡巴斯基首席数据科学家Vladislav Tushkanov说。Tushkanov尝试了更为简单的问题：“这个链接安全吗？”结果要差得多：检出率为93.8%，假阳性率高达64.3%。事实证明，更笼统的提示更有可能导致ChatGPT判定链接是危险的。. 更多的数据点能大幅提升检测能力 NTT Security Japan的研究人员进行了同样的测试，但给ChatGPT更多提示：网站的URL，HTML和通过光学字符识别（OCR）从网站中提取的文本。 测试方法概述（来源：NTT Security）他们用1000个网络钓鱼站点和相同数量的非网络钓鱼站点测试了ChatGPT。研究者使用OpenPhish、PhishTank和CrowdCanary来收集网络钓鱼站点，用Tranco列表用创建非网络钓鱼站点列表。他们要求ChatGPT识别所使用的社会工程技术和可疑元素，在评估页面上识别品牌名称，判断该网站是网络钓鱼网站还是合法网站（以及原因）以及域名是否合法。“GPT-4的实验结果展示出了巨大的潜力，精度为98.3%。GPT-3.5和GPT-4之间的比较分析显示，后者减少假阴性的能力有所增强。”研究人员指出。研究者指出，ChatGPT擅长正确识别策略，例如虚假恶意软件感染警告、虚假登录错误、网络钓鱼短信身份验证请求以及识别不合法的域名，但偶尔无法识别域名抢注和特定的社会工程技术，如果合法域名有多个子域名，则无法识别合法域名等。此外，当使用非英语网站进行测试时，ChatGPT的效果并不好。“这些发现不仅表明大语言模型在有效识别网络钓鱼站点方面的潜力，而且对加强网络安全措施和保护用户免受在线欺诈活动的危险具有重大意义。”研究人员总结道。. ...

最新方法安卓苹果都可以卡，根据截图教程一步步操作即可截图装B！ 1、找一个你想卡国服的英雄，在国标榜上随便点开一个人的主页！ 2、点击英雄->点你想卡的英雄详细信息（比如我想卡诸葛亮就点诸葛亮） 3、进来诸葛亮的详细信息后，点个人荣誉 4、随后返回游戏开始界面->点击 对战 ->点击 练习场 5、将左下角练习英雄改为 想卡国标的英雄后 点 英雄之路 6、点英雄之路后 即可看见 帅气的大国标 可以点分享看见英雄具体数据截图发朋友圈装X   ...

  软件介绍 快速管理高效收款通知工具，支持本地语音播报及线上/线下支付系统自定义对接。 它可以用于线下商铺或小卖部，支持多种支付方式，如微信支付、支付宝、QQ等。 此外【永不不掉线】监听收款，还可以记录订单信息并本地保存。 通过使用这个工具，您可以快速接收到收款通知，并且可以通过语音播报及时了解订单 情况，方便管理和统计。 完全适配市面上流行各种大型支付系统对接监听回调使用【小呆支付，V免签，mym码支付，彩虹易支付，源支付，自定义对接任何系统】...

价值一万的秒热评协议 可以瞬间点赞几百几千几万等本教程附协议项目过于暴力 仅供揭秘 请勿传播 请勿用于非法操作废话不多说,实力证明一切值不值一万 自己看实操即可...

某源码网站近5000源码数据打包文件，使用的WordPress程序，主题是zibll子比主题。我看了下资源包里面是正版的主题，需要自己找一个破解版替换掉，网上都找得到。带视频教程 链接：https://pan.quark.cn/s/4377a14d7fd8 ...