#吐槽

In reply to nevent1q…v8qd
_________________________

它自称拥有八亿六千万用户的记录, 包含三千六百万个群组和频道, 五百六十六亿条消息.
这和前几天 Telegram 公布的十亿注册用户很接近了, 如果有记录的用户就不是发垃圾消息的账号那 Telegram 应该还有一亿多的不活跃但是处于活动状态的账户.

数据肯定是来自于大量的 userbot 实现的抓取, 只要是没有放过它的 userbot 进来的群组都没爬到, 但如果有些群组放进来了那估计即使是私密群也逃不掉. 所以根据我自己的情况推测, 这部分数据应该是最近一到两年才爬到的.

via Nostr@cxplay

CXPLAY (npub1gd…ch58h)

CXPLAY on Nostr:

如果你用 Telegram, 以防你不知道有人已经索引了所有人在公开群组和频道的发言记录了. 打开机器人 https://t.me/Funstatgrtbot 选择语言后发送 /me 命令查询, 选择菜单里的 Groups 或者 Channels 就能看到喽.

#吐槽 群友发的，我还真能查到我自己
TG 反爬做了个啥哦……
想查的自己查一下 @Funstatgrtbot

#日常 明天来写复盘环节

#R6 究极 Carry 局

GNT.Channel.name = 开源摸鱼社💤

#CTF #CCSSSC2025 #线下赛 被打爆了😭 真不会啊，还好没爆零

#CTF #CCSSSC2025 #线下赛 笑死了，一个队四个人凑不出一个 bkcrack
https://github.com/kimci86/bkcrack

GitHub

GitHub - kimci86/bkcrack: Crack legacy zip encryption with Biham and Kocher's known plaintext attack.

Crack legacy zip encryption with Biham and Kocher's known plaintext attack. - kimci86/bkcrack

#日常 新手柄到手啦 先更新

#日常 连刷 5 集芙莉莲好爽 下高铁了

#日常 #番 不是哥们 我第三季还没看呢

GNT.Channel.name = 开源摸鱼社💤

#CTF #CCSSSC2025 #线下赛 被打爆了😭 真不会啊，还好没爆零

#CTF #CCSSSC2025 #线下赛 好像前 19 晋级？那可能还真有决赛？（待确认

Next.js曝严重安全漏洞CVE-2025-29927，漏洞评 9.1/10， 开发者需尽快升级修复

近日，Next.js 官方发布安全公告，披露其中间件系统中存在一个严重的授权绕过漏洞，编号为 CVE-2025-29927。该漏洞允许攻击者通过构造特殊请求，绕过中间件的安全检查机制，获取对受保护资源的未授权访问权限。这一漏洞对依赖中间件进行身份验证和授权控制的Web应用构成重大安全风险。

该漏洞影响以下版本的 Next.js：
• 14.2.25 之前版本
• 15.2.3 之前版本

尤其是那些在中间件中执行授权检查、但未对 x-middleware-subrequest 请求头进行验证的应用，风险尤为严重。

漏洞原理

Next.js 的中间件通常用于拦截 HTTP 请求，执行访问控制等安全策略。然而，攻击者可在请求中伪造 x-middleware-subrequest: true 请求头，中间件若未进行适当校验，便可能直接放行请求，从而绕过安全校验逻辑。

攻击方式示例

攻击者可构造如下请求实现绕过：

GET /protected-route HTTP/1.1
Host: vulnerable-app.com
x-middleware-subrequest: true

若中间件未拦截或校验此请求头，系统将可能错误地授予访问权限。

修复建议

Next.js 已在以下版本中修复该漏洞：
• 14.2.25
• 15.2.3

建议开发者立即升级至最新版本。若短期内无法完成升级，可通过在中间件中添加如下逻辑实现临时防护：

export function middleware(request: NextRequest) {
if (request.headers.has('x-middleware-subrequest')) {
return new Response('Unauthorized', { status: 401 });
}
return NextResponse.next();
}

检测与防御

开发者可通过监控 HTTP 请求日志，识别是否存在可疑请求头 x-middleware-subrequest，例如：

GET /protected-route HTTP/1.1 200 - x-middleware-subrequest: true

建议结合日志分析工具设置告警规则，及时发现潜在攻击行为。

ZeroPath ｜GitHub

📮投稿 ☘️频道 🌸聊天

#CTF #CCSSSC2025 #线下赛 被打爆了😭
真不会啊，还好没爆零

#日常 这是来刺探敌情的嘛？明天开打了

GNT.Channel.name = 开源摸鱼社💤

Photo

#视频 既然群友们来不了，就云旅游吧
【《守护解放西》 第1集 守护不打烊-哔哩哔哩纪录片】https://www.bilibili.com/bangumi/play/ep284046

#日常 刚刚看到个哈次捏米库

#日常 啊？十六进制（只有十位是）的红绿灯？

#日常 在长沙还能看到粥粥联动

#更新 本次比赛的 WP
https://bili33.top/posts/CTF-Hongminggu2025-Preliminary-round-Writeup/

GamerNoTitle

2025 数字创新中国大赛数字安全赛道时空数据安全赛题暨三明市第五届“红名谷”杯大赛初赛 Writeup (TEAM Volcania)

MISC异常行为溯源 | @Luminoria @Ron 某企业网络安全部门人员正在对企业网络资产受到的攻击行为进行溯源分析，该工作人员发现攻击者删除了一段时间内的访问日志数据，但是攻击者曾传输过已被删除的访问日志数据并且被流量监控设备捕获，工作人员对流量数据进行了初步过滤并提取出了相应数据包。已知该攻击者在开始时曾尝试低密度的攻击，发现未被相关安全人员及时发现后进行了连续多日的攻击，请协助企业排

#CTF #红名谷2025 结束哩，1310人（三人赛）我们能排 88 不错了