受到网络攻击后，竟在网上找起了“代打”服务；当你的网站受到网络攻击怎么办？你可以向公安机关报案可以加强系统防护、接入高防产品……然而居然有受害者选择了……前段时间，浙江宁波镇海网安部门破获一起互联网DDOS攻击案件。在案件侦办过程中警方发现，有网站开办者在遭受到网络攻击后，不但没有报警，却在网上找起了“代打”服务，用以暴制暴的方式对怀疑对象进行攻击报复。什么是“DDOS攻击”DDOS攻击，是指攻击者控制并利用位于不同地域的多台僵尸主机向攻击目标发起网络攻击，造成目标网站节点阻塞无法访问。案情回顾去年8月，宁波镇海网警在工作中发现，有不法人员在境外社交软件发布网络攻击服务广告，声称只要支付费用就能购买攻击网站的服务。镇海网警迅速开展侦查工作，锁定了嫌疑人江西男子沈某，很快于当月将其抓获。沈某今年21岁，高中毕业后没有找工作，而是开始自学DDOS攻击技术。为了赚钱，他在境外租用了30余台服务器，使用UDP反射放大攻击的方式，掌握了近300G的攻击流量，通过境外社交软件售卖“IP代打”服务。2年时间里，他接受过200余人次下单。受害人成了违法嫌疑人民警通过分析，发现舟山的陈某多次向犯罪嫌疑人支付攻击服务费。民警于是便找到了小陈，小陈面对警察叔叔，不断诉说着自己的委屈，原来他自己也是个受害者。去年年初，小陈开办了一个游戏的服务器供朋友一起娱乐，但是后来频繁遇到服务器宕机、卡顿的情况，起初小陈也没有在意，后来才知道系统是被人DOSS攻击了。“我的游戏玩家规模这么小，到底是谁会来攻击我呢？”小陈百思不得其解，最后想当然地认为一个开办同样游戏服务的福建小张可能性最高。于是小陈就在网上结识了犯罪嫌疑人沈某，在支付了费用后，让沈某给他“照死里打”。看到对方游戏无法登陆后，小陈的虚荣心极度膨胀，后续又多次指使“打手”攻击他人服务器。目前，沈某因涉嫌破坏计算机信息系统罪已被公安机关移送起诉，其他涉案人员也已被依法处理。网警提醒网络不是法外之地，遭受网络侵害，应当及时向公安机关报警求助，而不是以暴制暴，以黑反黑，通过同样的手段报复他人。《中华人民共和国网络安全法》第二十二条规定任何个人和组织不得从事入侵他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供从事入侵网络、干扰网络正常功能、窃取网络数据等危害网络安全活动的工具和制作方法；不得为他人实施危害网络安全的活动提供技术支持、广告推广、支付结算等帮助。消息称苹果

如果有人自称“熟人”“领导”通过社交软件、短信以各种理由诱导你汇款，务必通过电话、见面等途径核实确认，不要未经核实随意转账汇款，不要轻易透露自己的身份证、银行卡、验证码等信息。

华盟成立于2003年；我们的口号是：为普及网络安全做贡献！华夏黑客同盟（华盟网）坚持的宗旨是：免费、自由、共享；华盟信安学校更专业、更专注旨在提供一站式白帽子网络安全培训；以高质量就业为目标，以人才培养质量为核心；只为培养高质量白帽子网络安全工程师！华盟信安网络安全就业班课程周期86天；实施周期4个月；高强度的学习，理论+实战，23800RMB！华盟信安三大保障就业保障、薪资保底、2年内免费学习“往期学员入职offer左右滑动查看图集“往期学员反馈左右滑动查看图集开班计划01开班时间：9月，山西太原/济南022-3天免费试听，不满意退款；032年内免费持续提升；超强实战：项目驱动式培训、任务引领式教学、企业项目实战；双师促学：1+2+6教学体系；1套立体化课程体系+2位讲师+6个模块；全程跟踪：四位一体教学服务，项目经理、高级讲师、教务助理、职场导师全程面授：面对面教学、0距离、即时且高效；适用对象：零基础；应往届计算机相关专业毕业生；有意从事或转行的IT从业人员；福利福利一、报名就业班赠送4980元线上WEB精英班课程二、网络安全行业认证-随报随学、一站式服务华盟信安培训学校网络安全培训认证考试招生中……全国可报，线上学习，一步到位！相关认证：CISP/CISP-PTE/CISSP/CISP-PTSNISP一级/NISP二级添加客服：华盟-上善了解活动详情住宿环境济南基地住宿环境山西基地住宿环境部分就业班学员图片

始于猎艳，终于诈骗！带你了解“约炮”APP现代生活，手机已经成了许多年轻人离不开的用品，各种功能新颖的手机APP也是层出不穷的出现。今天我们来了解一种特殊的同城交友APP，它看似是一种交友软件，实际则是诈骗分子用来骗钱的工具。第一步，露骨短信骗你下载APP（瞒天过海）夜深人静的时候，我们可能会收到下面这样的类似短信，内容十分露骨，并会发送给你一个网址，一些人经不起诱惑，便会点击下载。下载完以后，会有客服联系你，声称他们可以提供同城“约炮”服务，只需要把城市的地址告诉他，就可以立马安排人员上门服务，接着会给你发一些美女的图片，让你在里面挑选一个自己喜欢的，最重要的是，对方声称为了提高APP的知名度和拉拢回头客，本次服务是绝对免费的，期间不会产生任何金钱交易（许多人听到这里，不仅起了色心，又动起了贪念，这样就很容易掉进骗子的圈套里了）。第二步，语音让你冲昏头脑，去完成“认证”任务（美人计）当你选完自己心仪的女生后，你就可以通过这款APP添加对方好友开始聊天了。对方会发来语音，不用怀疑，声音肯定是非常甜美的，这样才能让人更容易上当受骗哦。接着，对方就要聊到了正题，询问你是否作了认证，如果没有认证，她们是不会出门的，并给你发送一张认证卡片。此时头（见）脑（色）清（起）醒（意）的你，便会着急完成认证操作。听着女生甜美的声音（可能是抠脚大汉利用变声软件事先录制好的声音哦），已经掉进圈套的你，肯定会怜（迫）香（不）惜（及）玉（待）不能让她等的太久，就会立即询问客服认证需要干什么，其实，这才是他们诈骗的开始。接下来，就会有一个认证导师负责教你如何做认证，其实就是类似于我们以前介绍过的刷单的套路，只是这个套路现在应用在了这款“交友”APP上而已。第三步，做认证（刷单）任务，用小额的佣金和APP余额提现功能让你相信这是真的（声东击西）他们声称这次服务不收取费用，但是这个钱是需要提供赞助的网络平台支付的，作为回报，你需要在这个网络平台上帮助主播打榜，说的直观一些，就是需要转钱给他们。这里面有一个关键点，就是第一次打榜需要转账80元，然后会返还给你100元，这样你不仅做了认证任务，还有20元的报酬，你就更容易去做了。这里需要说明的是，诈骗分子就是利用人们的固有思维，我们平时用惯了各种网购平台的APP，诈骗分子会告诉你，你所转账的钱，不是转给他们，而是充值到了这款APP上，充值完以后就可以看到自己的余额，而且可以随时提现，我们就会误以为这款APP显示的余额和网购平台里一样，这就是我们的钱，可以随时提现，殊不知这只是诈骗分子在后台事先编辑好的数字罢了，无论他显示余额多少，能否提现都取决于诈骗分子的操作，与表面的余额数据无关。第四步，诈骗分子开始真正骗取你的钱财（笑里藏刀）由于之前说好认证需要做三次，第一次已经做完并且得到了20元的报酬，已经上当的你会立马开始做第二单，第二单开始需要先期转账的金额会越来越大，当然报酬也会越来越多（不然怎么骗你继续转账呢）。当你继续充值的时候，对方会给你一个银行卡号，并要求你一定要通过网银向这个卡号进行转账操作，他们会以协议规定、公司要求等为借口，称不支持微信等平台转账操作，实际是为了规避这些平台的监测。充值完后无论你怎么去完成他们的认证任务，他们都会说你做的任务出现错误，要么将事先PS好的图片发给你，说你的操作有问题，要么称系统后台出现故障，总之就是你的任务都白做了，钱也不会退还给你，想退钱只有一个办法，就是继续选择金额更高的任务，做完以后将所有任务的钱和佣金一起返还给你，如此反复让你转账，直到你没有钱继续投入或者察觉被骗为止。最后，反诈中心提示您，卖淫嫖娼是违法行为，触犯法律一定会受到相应的处罚。爱情是需要你去现实中努力寻找的，而不是夜深人静在网上随机遇到的，更不要相信动动手指就能轻松赚钱的美事！明星行程信息被标价出售

#执行Payload后续可结合钓鱼邮件等手法，等待运维人员去通过exec访问容器的/bin/bash。使用如下命令：sudo

：互联网、freebuf精彩推荐乘风破浪|华盟信安线下·web渗透夏令营暨网络安全就业班招生中！web渗透入门基础篇|充电重磅|2023华盟HW工程师招募

今年以来，随着ChatGPT和GPT-4等技术的应用，深度合成产品和服务日渐增多。利用AI换脸、AI拟声等虚假音视频进行诈骗的违法行为屡见不鲜，这些新的诈骗手法十分隐蔽和高效，给社会造成很大的安全威胁。近日，“AI诈骗正在全国爆发”一度冲上微博热搜。6月10日，国家反诈中心辟谣爆发传言不实。但AI诈骗相关话题的热度依然居高不下，甚嚣尘上。2023年5月，内蒙古包头警方发布一起利用AI实施电信诈骗的典型案例：2023年4月，福建一家科技公司的法人代表郭先生被骗子通过AI换脸和拟声技术，佯装好友对其实施诈骗。在10分钟内，先后分两笔把430万元转到了对方的银行账户上。无独有偶，2023年5月22日，AI换脸诈骗事件再次发生。安徽一男子9秒被骗132万，诈骗分子使用了一段9秒钟的智能AI换脸视频，佯装“熟人”让受害人放松警惕从而得手。其诈骗速度之快，令人乍舌。这两则受骗事件套路如出一辙。不法分子利用AI换脸技术，伪装成特定人物，提前制作冒充熟人的视频，并与他人进行视频通话，或使用特定的换脸应用程序，以假乱真，博取被害人信任后实施诈骗行为。AI换脸的应用边界新科技的发展应用，可谓是一把双刃剑，AI

GUID则是nTDSDSA对象的objectGUID属性的值2）全局编录服务（GC），用于存储域中的所有对象的信息，其他SPN格式如下：GC/hostname/domain

测试发现，8款App在5种场景下调用了位置、设备信息、应用列表、剪切板、存储5类系统权限，未发现调用相机、麦克风、通讯录等其他权限。近期，中国网络空间安全协会、国家计算机网络应急技术处理协调中心对“在线影音类”公众大量使用的部分App收集个人信息情况进行了测试。测试情况及结果如下：一、测试对象本次测试选取了19家应用商店⁽¹⁾累计下载量达到1亿次的“在线影音类”App，共计8款，其基本情况如表1。表1

过去几年中，威胁情报（CTI）的重要性被反复强调，但遗憾的是，大多数企业的威胁情报计划还远未成熟。未来几年，威胁情报“雷声大雨点小”的的情况将发生逆转，威胁情报市场将迎来一轮企业投资热潮。根据ESG的最新调查报告，大多数受访企业都支持投资威胁情报计划，63%的企业计划在未来12到18个月内“大幅”增加威胁情报计划支出，而另有34%的企业计划“稍微”增加威胁情报计划支出。报告指出，企业之所以会在预算紧张的时期在威胁情报上追加投资，是因为威胁情报可以给企业带来实实在在的技术和商业利益。CISO纷纷下注威胁情报ESG的调查显示，受访的CISO们认为，对威胁情报计划的进一步投资可以减轻网络风险，同时改进威胁预防和检测。在接下来的12到24个月内：30%的企业将优先考虑与其他内部团队共享威胁情报报告。这是正确的选择，因为威胁情报的价值绝不仅限于富化安全运营中心(SOC)的警报。CISO可以使用威胁情报确定安全投资的优先级并验证安全控制，而业务经理也可以在数字化转型计划与更全面的风险管理决策之间取得平衡。威胁情报（在更多部门）的分发和用户反馈也是成熟威胁情报生命周期的关键环节。27%的企业将优先投资数字风险保护(DRP)服务。企业的数字足迹不断扩大，需要更好地了解伴生风险。DRP服务可通过监控深网/暗网聊天内容来探查企业是否发生在线数据泄漏、品牌受损、攻击面漏洞以及正在酝酿中的黑客攻击计划等。27%的企业将优先考虑威胁情报与其他安全技术的集成。除了端点、电子邮件和网络边界之外，CISO还希望威胁情报与云安全工具集成，例如安全信息和事件管理(SIEM)和扩展检测和响应(XDR)解决方案、安全服务边缘工具(SSE，如安全Web网关和云）和云访问服务代理(CASB)。更多集成能够阻止更多入侵指标(IoC)并开发更全面的基于威胁感知的防御。27%的企业将优先购买威胁情报平台(TIP)，用于威胁情报收集、处理、分析和共享。TIP曾经是大型企业的专属应用，现在正慢慢走向市场。预计这些支出中的大部分最终将流向Flashpoint、Mandiant、Rapid7(Intsights)、Recorded

年中盘点：2023年最重大的5起数据泄露&勒索软件攻击2023年上半年还未结束，但我们已经看到了足够多的网络攻击。毫无疑问，网络安全能力和打击高级罪犯的技术正在迅速发展。但不幸的是，黑客攻击的复杂性和敏捷性正在以更快的速度提高。在这篇文章中，我们将重点关注2023年上半年（前5个月）发生的一些（在我们看来）最重大的网络攻击、数据泄露和勒索软件攻击案例。这些攻击，可能是，也可能不是，一年中最大的5起案件。但它们绝对是您应该知道的。一些专家认为，网络犯罪造成了世界历史上最大的财富转移案例。网络安全风险投资公司预测，到2025年，网络攻击的成本估计将达到每年10.5万亿美元。这里需要注意的是，网络攻击的成本是指费用的累积。这些包括但不限于：

在微软最近观察到的一次BEC（商业电子邮件欺诈）攻击中，攻击者利用企业之间的合作伙伴关系连环攻击了四家金融企业（从一家供应商渗透到目标金融企业）。微软研究人员发现攻击者还采用了多阶段中间对手网络钓鱼攻击（AiTM），一种常见的绕过多因素身份验证（MFA）的技术。AiTM网络钓鱼攻击只需要用户在登录会话期间手动输入一次MFA验证码（无论是来自短信、电子邮件或者手机APP）即可完成MFA的绕过。目前AiTM网络钓鱼攻击已经有大量开源工具包可用，其基本原理是监控受害者与服务验证之间的流量，在身份验证完成时捕获服务返回的会话cookie，用于访问受害者的账户。执行AiTM最常见的方法之一是使用反向代理，将受害者重定向到攻击者控制的网站，后者代理目标网站的真实登录页面和所有后继内容交互。用间接代理绕过MFA在微软观察到的新攻击案例中，攻击者使用了自己开发的自定义网络钓鱼工具包，该工具包使用间接代理方法：攻击者设置的网络钓鱼页面不提供（代理）来自真实登录页面的任何内容，而是完全受攻击者控制的钓鱼页面。当受害者与网络钓鱼页面交互时，攻击者会使用受害者（登录钓鱼页面时）提供的凭据启动与真实网站的登录会话，然后使用虚假提示向受害者索取MFA代码。如果受害者提供了MFA代码，攻击者会将其用于自己的登录会话，并直接获得会话cookie。然后受害者被重定向到一个假页面。这更符合传统的钓鱼攻击方法。微软研究人员表示：“在这种采用间接代理方式的AitM攻击中，由于钓鱼网站是由攻击者设置的，因此他们可以根据场景更有效地控制修改显示的内容。”“此外，由于网络钓鱼基础设施由攻击者控制，他们可以灵活地创建多个服务器来逃避检测。与典型的AitM攻击不同，目标和实际网站之间没有代理HTTP数据包。”一旦攻击者成功入侵受害者的账户，就会生成一个新的访问代码以延长他们的访问时间，然后继续向该账户添加一种新的MFA身份验证方法——一种使用带有伊朗号码的SMS服务的方法。然后，攻击者创建了一个电子邮件收件箱过滤规则，将所有收到的电子邮件移至存档文件夹并将它们标记为已读（用于监控受害者的电子邮件）。杀伤力堪比软件供应链攻击在入侵供应商的电子邮件帐户后，攻击者向该供应商的合作企业发送了1.6万封网络钓鱼电子邮件，收件人同样被重定向到同一网络钓鱼页面。与软件供应链攻击一样，这种多阶段AitM网络钓鱼和BEC的攻击组合可呈指数级增长，并且可以深入到信任链的下游。根据美国联邦调查局互联网犯罪投诉中心(IC3)6月9日的报告，BEC诈骗造成的损失在2021年12月至2022年12月期间增长了17%。BEC攻击的目标通常是诱骗收件人电汇转账，泄露个人隐私和财务信息或转移加密货币。过去10年，IC3在国际上记录了27.8万起BEC事件，损失超过500亿美元。微软研究人员表示：“这种使用间接代理的AitM攻击是攻击者为了绕过传统邮件安全解决方案不断开发更为复杂的网络钓鱼TTP的一个最新例证。因此，主动寻找并快速响应威胁成为企业网络安全防御的一个重点工作。”缓解措施AiTM攻击的缓解措施包括使用AitM技术无法拦截的MFA方法，例如使用FIDO

HKEY\\\_USERS\\\\.DEFAULT\\\\Software\\\\Oray\\\\SunLogin\\\\SunloginClient\\\\SunloginInforeg

利用“AI换脸”技术，制作生成虚假的换脸淫秽视频1200余部、图片1600余张；2023年6月9日，杭州市萧山区人民检察院对一起利用“AI换脸”技术侵犯公民个人信息的案件，依法向杭州互联网法院提起民事公益诉讼。2020年左右，虞某某从互联网上接触到“AI换脸”软件及技术，并通过学习掌握了该软件的使用方法。2021年左右开始，虞某某以牟利为目的，在未取得被编辑人同意的情况下，利用上述“AI换脸”软件，将从互联网等渠道收集到的他人人脸信息与部分淫秽视频中的人脸信息进行替换合成，制作生成虚假的换脸淫秽视频，在网络社交软件上进行传播并获利。截至案发，公安机关共在虞某某所组建的公开群内查获淫秽视频1200余部、图片1600余张。2022年11月30日，公安机关以涉嫌传播淫秽物品牟利罪将虞某某移送萧山区检察院审查起诉。该院在审查时发现，虞某某不仅涉嫌刑事犯罪(目前已对虞某某以制作、传播淫秽物品牟利罪提起公诉)，同时还存在损害社会公共利益的行为。经查，虞某某在使用“AI换脸”技术制作淫秽视频的同时，还为他人提供换脸视频定制服务，即根据客户提供的视频或照片，制作换脸视频。此外，虞某某还在网络社交软件上销售“AI换脸”软件、提供换脸素材并传授使用教程。检察机关认为：人脸信息作为敏感个人信息，对于保障公民人身财产安全具有重要意义，应当依法受到严格保护。本案中，虞某某从互联网公共空间非法获取众多人脸信息，利用“AI换脸”等深度合成技术非法处理、制作淫秽视频后，在超过2000人的网络社交软件群组传播，同时提供换脸视频定制服务，使不特定群体成为潜在的被侵害对象，违反了法律法规和社会公德，混淆社会公众认知，污染社会风气，侵害了承载在不特定多数社会主体个人信息之上的公共信息安全，破坏社会公共秩序，构成对公共信息安全领域的社会公共利益侵害;除此之外，虞某某在明知他人可能将“AI换脸”软件用于侵犯个人信息等不正当目的的情况下，仍向他人销售“AI换脸”软件、提供换脸素材并传授使用教程，使得更多不特定主体个人信息被侵害的社会危险性进一步扩大。虞某某的行为违反了《中华人民共和国民法典》《个人信息保护法》等相关法律规定，应当承担相应的民事责任。在依法履行诉前公告程序、无适格主体提起诉讼请求后，萧山区检察院于6月9日向杭州互联网法院提起民事公益诉讼，请求判令被告停止侵权，删除持有的所有涉案个人信息，不得再违法使用深度合成技术侵害社会公益;支付公益损害赔偿金人民币60000元(专门用于个人信息保护、人脸深度合成技术应用的治理等公益事项);在国家级媒体上向社会公众公开赔礼道歉。“人脸信息与个人的隐私权、名誉权、财产权等多种权益关系紧密，属于敏感个人信息，从司法实践来看，人脸信息的不正当使用将对社会公众的人身和财产安全带来重大风险，一旦造成侵害往往是长久的、持续的、难以弥补的。”承办该案的检察官说，近年来，利用“AI换脸”技术制作换脸视频，绕过人脸识别系统监管从而实施诈骗、盗窃等犯罪的情形时有发生。可以说，“AI换脸”技术在灰色领域甚至违法犯罪领域的滥用，给社会公众带来了极大危害。“我们希望通过该案的办理，能够进一步震慑犯罪分子，也提醒广大群众，在使用新兴技术时，不能忘记法律的规制、道德伦理的约束，这是所有技术发展应有的边界。”门禁巨头遭勒索攻击，北约、阿里集团等多个实体受到影响Cyber

“让数字人‘周鸿祎’作为我们公司的新闻发言人，说对了算我的，说错了算他的”，6月13日，三六零(601360.SH，下称“360”)公司召开360智脑大模型应用发布会，认知型通用大模型“360智脑4.0”亮相，360AI数字人正式发布。360集团创始人周鸿祎现场创建了自己的数字分身作为“360发言人”。周鸿祎表示，数字分身拥有他本人完整的私人知识库，能够复刻他的思维方式和人生经历，是有“灵魂”的数字人。发布会同时宣布360智脑在多模态等关键能力上完成迭代，将全面接入“360全家桶”。周鸿祎表示，360在大模型上的核心创新在AI数字人，数字人是未来人工智能大模型的最重要的应用入口。360将依托360智脑大模型能力，重新定义“数字人”。区别于传统数字人只能按既定脚本输出内容，360AI数字人的特点在于有记忆、有人设和性格，能够复刻思维方式和人生经历。据了解，360AI数字人目前拥有200多个角色，分为数字名人和数字员工两类。数字名人包括历史人物、偶像明星、文学形象等，让用户在与数字人的开放对话中实现与偶像的近距离接触，与先贤的思想交流。数字员工则可成为企业员⼯的知识助⼿和办公助手，提升企业运营效能。周鸿祎现场演示了“法务专员”数字人角色，对中小企业常见的公章管理和合同审核问题给与了专业回答。此外，360AI数字人支持定制，每个人都能通过上传私人知识库，低成本生成自己的专属数字人，如数字分身、数字助理、数字偶像等。周鸿祎表示，360AI数字人未来的发展方向是生成声音、视频并拥有长期记忆，甚至拥有目标分解和规划的能力，并且拥有“手和脚”，具备执行力，更好为人类提供服务。“AI的进化要以人为本，大模型应该成为人类的朋友和助手。”360AI数字人背后是“360智脑4.0”强大的多模态能力的支撑。周鸿祎表示，GPT时代中国自研大模型弯道超车的关键在于发展多模态。目前，360已具备跨模态生成能力，包括文字处理能力、图像处理能力、语音处理能力以及视频处理能力，可实现文生文、文生图、文生表、图生图、图生文、视频理解等功能。会上，360智脑“文生视频”多模态功能国内首发，任何文字脚本都可生成视频，不受专业技能和素材限制，展示了“无中生有”的能力。据了解，360智脑已具备生成与创作、多轮对话、代码能力、文本分类、文本改写、阅读理解、逻辑与推理、知识问答、多模态、翻译等十大核心能力，维度涵盖数百项细分功能，可覆盖大模型全部应用场景，并在多个第三方评测中位居国产大模型第一梯队。

--filter(default:js,css,json,png,jpg,html,xml,zip,rar)

华盟信安网络安全就业班-----课程周期86天；实施周期4个月；高强度的学习，理论+实战，23800RMB！华盟信安三大保障就业保障、薪资保底、2年内免费学习

King-Hacking介绍以前我们都是把看到合适的，喜欢的全部下载在电脑上，但慢慢的发现，99%的安全工具下载后都是闲置的，常用的就那么几款，今天发现这个小脚本，它列出了一些常用的分类并收集了常用的渗透测试工具列表，你喜欢哪个进去选择就行，然后它会自动给你下载回来。包含工具分类

研究人员近日发现，攻击者可以利用ChatGPT往往返回虚假信息的习性来传播恶意代码包。这对软件供应链构成了重大风险，因为它可能允许恶意代码和特洛伊木马溜入到合法的应用程序和代码仓库中，比如npm、PyPI和GitHub

语法来方便使用者编写自己的规则，并且内置了一些常用的规则，除此之外还有联动其他安全产品在内的其他多个实用功能。主要的功能如下：1、基本

浏览器扩展是为浏览器添加功能的插件。例如，它们可以屏蔽网页上的广告、做标注、检查拼写等等。我们每个人都可能或多或少地安装过各种浏览器扩展程序：广告拦截器、在线翻译器、拼写检查器、反指纹追踪程序或其他东西。然而，很少有人停下来思考：它安全吗？不幸的是，这些看似无害的迷你应用程序可能比我们想象得更危险。研究显示，许多扩展均涉及一系列的欺诈、盗窃、广告、以及滥用社交网络等问题。这些扩展并没有如它们描述中的那样工作，而是会被各种类型的网页内容而触发一些非法活动，进而访问个人信息或损坏设备。流行的恶意Chrome扩展谷歌的Chrome浏览器是全球最流行的网络浏览器，支持超过13万个独特的浏览器扩展。大多数这些独特的扩展都是安全的，并由Chrome本身支持，但也存在一些已被确定为“恶意”的流行扩展。这些恶意Chrome扩展可能包含恶意软件，最终会破坏系统安全。下属列表包含了一些Chrome用户应该注意的最臭名昭著的扩展程序。Netflix

个生产数据库”。经过十多个小时的努力，微软方面已经全部恢复了数据库，为防止此类问题再次发生，微软已经采取各种修复和重新配置措施。花费如此长时间的原因如下：第一：由于客户自己无法恢复

一次接触MobSF，还是在实习工作中，来了个APP渗透的活，那时候还不太了解，领导说，直接拿MobSF扫描一下不就好了，后来一用就变成了常用的APP分析工具地址https://github.com/MobSF/Mobile-Security-Framework-MobSF提供了中文手册https://mobsf.github.io/docs/#/zh-cn/我的个人想法，反正能用就行，这款分为两种的调试方式，一种是静态扫描，一种是动态扫描我个人用了这么久，动态扫描一次没用过，静态完全够用，直接拿docker起一个服务也是很方便的搭建方式使用Docker镜像docker

简介WAF是一种用于过滤和阻止恶意网络流量的网络安全解决方案。国外网站常见的供应商包括CloudFlare、AWS、Citrix、Akamai、Radware、Microsoft

工具介绍一个先进的跨平台工具，可以自动检测和利用SQL注入漏洞，支持布尔注入、时间注入、报错注入、堆叠查询，支持的数据库有MySQL，Microsoft

网络和电子邮件安全公司梭子鱼（Barracuda

Elasticsearchhttp://127.0.0.1:9200/nmap_index/_doc/_search?q=_id:192.168.0.111其中92.168.0.111

Suite

一、白名单绕过语句输出在标签内比如1.闭合标签构造语句在白名单较为宽松的情况下，"和都被放出，可以利用">先闭合标签，然后构造xss语句来进行触发。最后结果">这种是最简单的方法，也很常见。如果白名单内没有了"，可以利用html的解析优先级来逃离引号来触发xss。构造，在浏览器中会优先解析标签，这样就会优先闭合标签，从而逃出引号的限制来触发xss。2.闭合属性构造xss如果现在白名单中没有了，那么就不能利用上述方法进行构造，可以考虑闭合src属性，构造新属性来触发xss。构造闭合src，触发xss如果白名单中'"全部被限制，这时xss利用就变的非常困难，但是如果onerror属性可控的话，可以用html实体编码进行绕过，来构造任意的xss语句。https://config.net.cn/tools/HtmlEncode.html

漏洞的攻击方式，并详细介绍了发现过程、利用方法以及带来的负面影响。该漏洞的另一个特性是支持远程操作，意味着攻击者可以配合其它漏洞带来更大的破坏力。微软表示仅仅通过修复

日披露状态：未公开作为最新的安全更新的一部分，三星已经通过采取措施，防止未来记录内核指针，有效地解决了这个问题。根据

今天朋友突然告诉我，某转买手机被骗了1200块钱，心理一惊，果然不出所料，那我来试试吧。。要来了诈骗网站地址，打开是这种：果断收集一下信息：（由于留言骗子返还朋友钱款，暂时给他留点面子，打点马赛克）查看端口，一猜就是宝塔面板搭建，开着80，那就访问一下：从官网查找客服软件的教程。发现后台路径为：/admin直接访问果然发现：想也没想，直接admin：123456，没想到的是进去了哈哈哈：下一步当然是getshell，找了一圈发现直接可编辑语言配置文件：这里使用简单的一句话还给我封了ip丫的，看了一眼竟然用云盾，这骗子还有点安全意识，那只好祭出我的哥斯拉杀器（直接带bypass

ChatGPT从发布至今曾闹出了不少隐私安全问题，先是意大利暂时封杀ChatGPT，限制OpenAI处理本国用户信息。接着，据韩国媒体报道，三星在使用ChatGPT不到20天，便曝出机密资料外泄。ChatGPT是否会保存用户数据或利用用户数据，并没有人专门分析过，笔者接下来将就这一问题逐一进行解密。数据授权根据OpenAI的公告，从2023年4月25日起，用户可以自由禁用对话记录，这样对话就不会再出现在侧边栏上。一句话总结OpenAI的隐私策略就是：此前，用户只能按需定期清除聊天记录，但任何对话OpenAI仍可用于模型训练微调。截至目前为止，如果对话记录被禁用，对话只会保留30天，然后OpenAI会永久删除它们。要禁用ChatGPT的对话记录非常简单，访问Web界面中的设置，导航至主页的左下部分，将弹出一个小窗口：切至”Data

工具介绍OA综合利用工具，集合将近20款OA漏洞批量扫描，本工具无毒无后门，因为含有冰蝎木马文件原因请下载时关闭防护软件。0x02

前言小白初入渗透，想获得一个教育SRC的漏洞证书，觉得某学院是比较好看的，而且只需要10rank，不是很多，对我这个小白很友好，因此就开始了本次的渗透之路（意外的收获了小通杀）。目标搜集首先是对此学校的站点进行了地毯式搜索，当时的思路是这样的：大多数人在挖证书站的时候，都是找的edu.cn这种域名的，那这样的话edu域名的肯定被其他师傅找过很多次了，存在漏洞的概率要小一些。所以我反其道而行之，搜索站点时，摒弃以edu.cn结尾的站点，这样找到的站点相对来说比较冷门些（小白的个人见解）当时使用的是鹰图，为了尽可能多的搜集相关站点，使用body参数进行搜集，具体语法如下body="xx学院"&&domain!="edu.cn"而后经过不懈努力，我这个会点鼠标的猴子在浏览数百个站点后，找到了我们的这个可疑站点。第一次测试弱口令拿到这个站点后，当时它的界面如下所示对于这种站点，我的想法是首先尝试下弱口令，因此尝试了admin/admin,admin/123456,admin/admin888这些，而后发现admin/123456可成功登录站点，幸运的拿到了一个证书站的管理员权限它的学生管理处存储了大量学生信息获取到了大量学生数据。第一个漏洞此时就出现了，存在危害的弱口令漏洞。垂直越权当时看到这个学生管理界面的时候，就想到一种情况：即登录学生账号时，访问该接口，能否成功访问到此接口并获取学生数据呢，接下来进行测试。在使用管理员登录成功后，打开Burpsuite，点击学生管理时进行抓包，从而获取它的接口成功找到接口，与该站点进行拼接，得到https://xxx.com/admin/bas/bas_student_list.html?_t=234316&_winid=w1176接下来登录学生账号，从学生管理中借用一个学号，此时便有账号了，但密码是什么呢？转念一想，既然管理员账号密码都是弱口令了，那学生账号会不会也是弱口令呢，随手输入一个123456进行尝试，结果如我们所料想的一般，的确是弱口令。接下来访问刚刚获取到的的接口成功获取到学生具体信息，但有些乱码，不过不影响整体。同类站点寻找在发现这个漏洞后，我发现它的登录界面提示了xxx科技，然后就萌生了一个想法，这会不会有多个学校使用此系统呢，然后我就开始了同类站点的寻找之路。Icon图标一般寻找同类站点的话，首先想到最快捷的方法就是通过它的icon图标进行检索，所以我们进行打开F12，然后刷新网站，打开网络此时就会发现favicon.ico图标，我常用的搜索方式有两种，一种是用hunter，一种是用fofa，但fofa搜icon图标貌似结果总是不尽人意，所以这里用hunter来进行搜索，打开鹰图后，点击图标检索接下来进行搜索即可此时可发现180多个高校在使用此系统，此时就可以通刷了。关键词搜索但我第一次并不是用上面的方法来寻找同类站点的，不然也不至于edu也只有那么点分了，当时我只注意到了内容中含有xxx科技，因此我在hunter中以如下语法进行了搜索web.body="xxx科技"&&title="学院"&&icp.name!="公司"当时用这种方法进行了搜索，显而易见，资产少了很多，因此当时只刷了一点点分数。第二次测试因为第一次测试时，由于提交时间问题，导致只有寥寥数个站点成功通过了审核获取了一些rank，因此心有不甘，然后开始了自己的第二次测试之旅Spring

1、介绍微信小程序渗透时，因为小程序没有网页端页面，所以不能直接访问抓包分析，如果需要抓包分析，一般就是要么用电脑上的安卓模拟器登录微信利用burp抓包，要么就是用burp抓手机的包，要么就是从手机上直接抓包。具体步骤网上很多，我一般简单的抓包就是ios上用“Stream”这个软件，很方便的就抓包了。本文主要讲的重点是微信小程序的反编译，因为反编译出来可以看到小程序的前端源码，可以渗透出更多的东西。2、使用电脑版微信获取小程序的源码这里直接打开微信存储文件的文件夹这里的两个wx开头的文件就代表两个小程序，如果之前用电脑版微信打开过小程序，每打开一个小程序，就会创建一个小程序的文件夹，如果你这里有很多的文件夹，你分不清哪个是哪个小程序，那就直接都删掉，然后你去每新打开一个小程序，就会自动生成一个文件夹我们进入文件夹里面，其实里面就是一个文件，这就是我们小程序的源码，但是是加密的，我们需要对其解密网上有很多的方法和工具解密，但是我这里演示的是我测试通过的方法和工具3、使用工具解密源码解密工具：https://github.com/superBiuBiuMan/wechatMiniAppReverse这个工具是解密+反编译，所以很方便工具自带使用方法，但使用方法不全，所以我演示一下进入1.first文件夹看到这里用使用方法和一个exe文件我们用命令行进入这个文件夹，然后输入以下命令（不要直接复制，要改成自己的）pc_wxapkg_decrypt.exe

因CPU被爆肝，ChatGPT全球大宕机！据报道，5月25日来自初创公司OpenAI的人工智能机器人ChatGPT在全球范围内出现中断。距离上次全球范围中断仅仅过去两个月。OpenAI表示，目前已经了解此次中断事故。随后，该公司在一小时后修复了这个故障。OpenAI的状态页面显示"已观察到ChatGPT报错率升高。根本原因已经确定，团队正在进行修复“。根据网络状况监测网站Downdetector.com显示，不到一小时前，中断连接的数量猛增，有数千人报告了这个问题。在该公司确认问题后近40分钟，OpenAI对该问题进行了修复。并表示此次故障是由CPU使用量增加引起的。OpenAI说："在过去的几个小时里，数据库CPU使用率过高影响了网站，目前问题已经得到解决。我们将继续监测该网站，以确保该问题不会再次发生"。OpenAI

在全球拥有超过1亿的用户。此次在手机端上架的是OpenAI最新、最强大的大语言模型ChatGPT-4。该应用程序上架后将跨设备同步你的历史记录，并带来OpenAI最新的模型改进。据App

在手机上也能玩ChatGPT了！当地时间周四（5月18日），人工智能研究公司OpenAI在官网宣布，其在美国推出了聊天机器人ChatGPT的iPhone应用，并承诺未来也将为安卓手机提供相同的服务。这是该软件首次发布手机版本的应用。官网还附带了该应用在苹果App

本项目其实就是个简单的代理服务器，经过我小小的修改。加了个代理池进来。渗透、爬虫的时候很容易就会把自己ip给ban了所以就需要ip代理池了。

“蚂蚁推广”或“支付宝推广”等旗号。对此，支付宝官方辟谣称：此类活动均为诈骗，请勿信。支付宝没有“蚂蚁推广”“支付宝推广”等项目，也没有“朋友圈出租”等赚钱活动。IT之家附支付宝辟谣全文：响尾蛇

：安全学习那些事儿、freebuf精彩推荐5月期|华盟信安2023网络安全就业班开班计划web渗透入门基础篇|充电重磅|2023华盟HW工程师招募

一些钓鱼场景1、OA用户弱口令聊天功能发送钓鱼信息2、OA管理员（发通知，批量邮件）3、掌握目标多种信息后，甚至可以直接打电话（索要密码，验证码）4、boss，脉脉等招聘网站5、QQ群6、在线客服基本的目标信息：1、职位2、日常工作（招聘HR，售前？招生？开发测试？）3、岗位对外联系的主要内容4、是否懂计算机5、办公方式（mac，云桌面，笔记本）6、基本称呼（老师，师傅，哥，同学）7、工作方式（微信，钉钉）8、公司是否具备安全人员专业性我是谁？自己的身份，（姓名，部门）邮件的格式（落款部门及签名是否有具体的特征）邮箱收集：天眼查，企查查，谷歌，github

漏洞赏金猎人是一个工具密集型的职业。猎人们往往囤积了大量趁手的“武器”来搜寻软件、Web应用程序、网站、硬件和基础设施中的弱点和漏洞。本文将推荐漏洞赏金猎人必备的十大工具：10HackBarHackBar是一个提供安全审计和渗透测试功能的Mozilla

2023年5月13日在山西省太原市万狮京华大酒店由OWASP中国指导，OWASP中国山西分会、山西网安信创科技有限公司、华盟学院承办，西安四叶草信息技术有限公司、北京优特捷信息技术有限公司、HackingClub、网安加社区、山西信思智学协办的“数安三晋、助力网安”的网络安全技术论坛圆满收官。本次网络安全论坛共有七大议题，涉及安全开发、社会工程学、开源治理、大数据安全、电信诈骗、工具开发、深度学习等七个方向，吸引了300多位网络安全人士参与。本次网络安全技术论坛议题介绍如下：议题一：IOS应用-安全保护对抗随着移动互联网的快速发展，越来越多的敏感信息被储存在移动设备中。攻击者利用iOS应用中的漏洞，可能会导致用户的隐私泄露、账号被盗等风险。因此，为了保障iOS应用的安全性，开发人员需要采取一系列的安全保护措施，以对抗各种攻击手段。攻击者也在不断地绕过各种安全检测，才能正常分析网络请求挖掘漏洞，因此iOS应用的安全保护也需要不断地更新和升级。议题二：科学“诈骗”之社会工程学在实战攻击中的妙用社会工程学在实战攻击中的妙用及案例介绍，通过案例过程讲解，介绍社会工程学在实战攻击渗透过程中的应用，解读套路与反套路之间的变化。为大家提供攻防过程中的思路与技巧。议题三:企业软件开源安全治理开源软件安全治理是软件供应链安全核心要素，主要分享：当下企业开源安全面临的重要风险，及治理体系、工具与技术的最佳实践。议题四：基于大数据的智能安全运营实践议题五：网络电信诈骗应急处置经验分享网络电信诈骗是诈骗分子利用人的信任、贪婪、防范意识低等特质，以“人”这一最薄弱的环节为突破，侵犯用户的隐私及财产安全。对待电信诈骗事件，企业需要从被动处置逐步向主动防御、积极对抗转变，提高安全防护与监测能力，做到防患于未然；需要加强安全事件的应急处置能力，积累处置经验，第一时间控制影响范围，减少客户损失，保护客户合法权益；需要做好安全知识宣传，提高公民防骗意识，内外联手，让不法分子无可乘之机。议题六：自研工具：提高渗透效率的必备武器渗透测试是指模拟黑客攻击的技术手段，用于检测网络系统中的安全漏洞和弱点，从而提高网络安全水平。在渗透测试过程中，工具是攻击者的必备武器之一。目前市面上的渗透测试工具繁多，但是它们都存在一些局限性，例如无法完全覆盖目标系统的漏洞、易被防御系统检测等问题。因此，越来越多的渗透测试人员开始自主开发工具，以提高渗透效率和成功率。本议题将探讨自研工具在渗透测试中的重要性和必要性，包括自研工具的开发流程、关键技术、实现方法、应用场景等方面的内容。同时，还将分享一些自研工具的案例和实践经验，以期为渗透测试人员提供一些有价值的参考和启示。议题七：面向深度学习模型的攻防对抗本次议题分为三部分。第一部分介绍深度学习基础，第二部分探索主流的深度学习攻防对抗方法，第三部分分析近期的新型攻击范式，整个议题将同时结合理论与实战。我们从信息安全三要素，即机密性、完整性、可用性展开。在机密性方面，我们将会从模型、数据两个维度触发，探讨成员推理攻击、模型窃取攻击等隐私风险；在完整性方面，我们将会探讨数据投毒攻击、后门攻击等安全风险；在可用性方面，我们将探讨对抗攻击的带来的安全隐患。最后，针对以ChatGPT为代表的大模型，我们分析并研究前沿的Adversarial

男子买个人信息注册“开发者”账号对外销售2023年5月12日，手机应用想要上传至应用市场供消费者下载，就需要注册相应的“开发者”账号，注册时需要核验公民个人信息，且有一定流程周期。某些不法分子瞄准其中的“商机”，购买大量公民个人信息用于注册“开发者”账号，并出售牟利，这些来源不明的账号所开发的软件进入市场后，可能给消费者带来安全隐患。静安区检察院依法以涉嫌侵犯公民个人信息罪对被告人郭某提起公诉，同时提起刑事附带民事公益诉讼，并追加尹某作为附带民事公益诉讼的共同被告。日前，静安区法院一审以侵犯公民个人信息罪判处郭某有期徒刑八个月，缓刑一年，并处罚金人民币一万元，郭某、尹某在判决生效后三十日内在国家级媒体上对侵犯公民个人信息的行为赔礼道歉，并永久删除存储的公民个人信息。2021年7月，某手机店工作人员到派出所报案称，发现经常有人到手机店里，以体验手机的名义使用不同的身份信息进行注册，自己怀疑他们在从事违法犯罪活动，决定向公安机关报案。经查，涉案人员(另处)使用郭某、尹某事先从他人处购买的包含姓名、身份证号码等公民个人信息，通过手机注册应用市场的“开发者”账号，后对外进行销售。由于每部手机及账号、信息均只能对应一个开发者账号，所以涉案人员采用租赁等方式获取账号注册需要的大量手机，部分涉案人员为了“节省”开支，想到了去手机店“借用”。经鉴定，至案发为止，郭某涉及侵犯公民个人信息共1万余条，尹某涉及侵犯公民个人信息共2000余条，内容包括公民的姓名、身份证号，甚至还有户籍地址及正面大头照。承办检察官肖立认为，郭某非法获取大量公民个人信息，情节严重，其行为已构成侵犯公民个人信息罪，尹某侵犯公民个人信息虽未达构罪标准，但同样构成民事侵权。与此同时，检察官还认为，郭某、尹某的行为可能引发个人信息泄露，带来频繁的骚扰电话，甚至精准诈骗，不仅给他人生活造成极大困扰，也给社会公众带来潜在网络安全风险，应当将该起案件作为线索移送至静安区检察院公益检察室。公益检察官徐衍在审阅全案证据材料后认为郭某、尹某的行为已经侵害了众多个人权益，根据《中华人民共和国个人信息保护法》第四条、第十条、第六十九条第一款、第七十条，人民检察院可以依法向人民法院提起诉讼。同时，通过调查发现本案被非法收集的公民个人信息仍存储于嫌疑人的手机、电脑等介质中，存在进一步泄露和非法使用的可能，根据《中华人民共和国民法典》第一百七十九条、第一百八十七条、第一千零三十四条、第一千零三十八条第一款等，为了切实保护公民个人信息领域的社会公共利益，要求侵权人郭某、尹某承担消除危险、赔礼道歉等民事责任。“由于法律意识淡薄，非法获取了公民的个人隐私，侵犯了公民个人信息，损害社会公共利益。对此，我已经深刻认识到自己的错误行为，自愿承担相应的法律责任，现通过媒体向广大公众公开赔礼道歉，希望大家引以为戒。”日前，郭某、尹某就自己的犯罪行为及时做出补救措施，删除已经保存的全部个人信息，同时在正义网发布公开致歉信，向社会公众致歉。近年来，静安区检察院积极回应人民群众关切，对侵犯公民个人信息的违法犯罪行为，综合采用“刑事+公益诉讼”办案模式，在打击刑事犯罪的同时，依法提起刑事附带民事公益诉讼，让被告人既承担刑事责任又承担民事责任，增加其侵犯公民个人信息的违法成本，在全社会起到有效的警示作用，切实提高社会公众对侵犯公民个人信息犯罪社会危险性的认识，为个人信息保护贡献检察力量。涉及215万人，丰田汽车披露了一起长达10年的数据泄露事件5月12日，日本丰田官方网站刊载了一份致歉通知，揭露了该公司一起长达10年的数据泄露事件，涉及约215万日本本土丰田用户。据悉，数据泄露是由丰田委托Toyota

2022年，卡巴斯基解决方案检测到超过7420万次勒索软件攻击，比2021年（6170万）增加了20%。尽管2023年初勒索软件攻击数量略有下降，但它们更复杂，目标更明确。去年，卡巴斯基实验室介绍了今年的三个趋势：1.攻击者试图开发跨平台勒索软件，使其尽可能具有适应性；2.勒索软件生态系统正在进化，变得更加工业化；3.勒索组织开始参与地缘政治；这些趋势至今还存在，研究人员偶然发现了一个新的多平台勒索软件家族，它同时针对Linux和Windows。研究人员将其命名为RedAlert/N13V。该勒索软件专注于非Windows平台，支持在ESXi环境中阻止虚拟机，这样可以掩盖其意图。另一个勒索软件家族LockBit显然攻击能力较强。安全研究人员发现了它的介绍，其中包含了针对一些不太常见的平台(包括macOS和FreeBSD)以及各种非标准处理器架构(如MIPS和SPARC)的恶意软件测试版本。至于第二种趋势，研究人员看到

关于学生能否提供实习证明A：面试通过的同学，顺利参加完项目后可出具工作/实习证明，后续联系对接人即可。Q5:

一日千里的AI技术发展让很多科技工作者疲于奔命，甚至谈AI色变，但是对于网络安全人士来说，AI在攻防两端掀起的安全技术革命意味着一次无可避免的技能迭代：无论是防御AI增强攻击还是强化企业AI系统都需要新的安全技能。数据科学、人工智能和提示工程都只是新网络安全技能的冰山一角。随着人工智能和机器学习模型越来越广泛地融入企业IT架构和网络攻击技术，新的风险正在酝酿之中，例如大规模针对性的人工智能网络钓鱼攻击、可以逃避传统安全检测的AI恶意软件和勒索软件、毒化AI模型的对抗性人工智能攻击等。传统的网络安全技能，例如渗透测试、威胁建模、威胁搜寻、安全工程和安全意识培训等仍然重要，但是在新威胁背景下，这些技能都需要重新打磨以适应基于AI的新工具、新流程甚至新方法和策略。当前的AI威胁场景Darktrace的一项研究发现，2023年前两个月，新型社会工程攻击暴增了135%，这表明攻击者可能已经开始使用生成式AI技术来提高其社会工程攻击的规模和复杂性。专家预计，使用生成式AI快速大规模制作鱼叉式网络钓鱼电子邮件的攻击数量将迅速增长，并可能扩展到基于音频的生成AI（电话钓鱼）。同样，攻击者还可能会使用神经网络来筛选社交媒体资料，加快对高价值网络钓鱼目标的研究。这些都是CISO们最为担心的问题：人工智能工具泛滥导致难以检测的复杂网络攻击的高度自动化和民主化。防御AI增强攻击的技能从安全运营中心（SOC）的技能角度来看，攻击的自动化并不新鲜，但人工智能会大大提高自动化攻击的速度和威胁性。这意味着企业需要更加重视对优秀分析师和威胁猎人的人才吸引和培养，他们擅长寻找、筛选和利用新工具，提高检测效率，快速发现和缓解新型AI增强攻击。随着攻击者越来越多地使用基于AI和ML（机器学习）的工具，安全团队将需要新的AI自动化套件来寻找与AI增强攻击相关的模式。这意味着企业安全团队至少需要对AI/ML和数据科学有基本的认识和理解（相关技能或人才），才能提出正确的问题。大型企业的安全领导者们已经开始着手建设内部数据科学和机器学习专业知识和技能。根据Forcepoint首席技术官Petko

越权首先使用功能点添加一次申报点击编辑，抓包可以看到是使用id控制返回的数据的服务端没有进行鉴权，修改id可返回其他用户的数据其他接口也是一样越权修改越权删除0x02