<?xml version="1.0" encoding="UTF-8"?><rss version="2.0" xmlns:content="http://purl.org/rss/1.0/modules/content/"><channel><title>FGT | Yummy 😋</title><description>📰 本频道不定期推送科技数码类新资讯，欢迎关注！  ©️ 发布的内容不代表本频道立场，和你意见不一样的话欢迎在评论区留言表达，但请注意言辞，面斥不雅。  ‼️ 关联群组定期清理不活跃成员和僵尸号，误封请联系管理员。🔗 博客: https://yummy.best  💬 群组: @GodlyGroup  📬 投稿: @GodlyNewsBot  🪧 广告合作： @yummybest_bot.</description><link>https://rgzn.zz.ac</link><item><title>黑客利用 Claude 获取了几乎所有美国音乐节的免费门票近日，安全研究人员 Ian Carroll 披露，他借助 Anthropic 公司的 Claude AI（Opus 模型）成功发现并利用了 Front Gate Tickets（FGT）票务平台的一个严重未认证 SQL 注入漏洞</title><link>https://rgzn.zz.ac/posts/15781</link><guid isPermaLink="true">https://rgzn.zz.ac/posts/15781</guid><pubDate>Sun, 05 Jul 2026 07:51:42 GMT</pubDate><content:encoded>&lt;div&gt;
      
        &lt;img src=&quot;/static/https://cdn5.telesco.pe/file/tuhPE-KKTw2YkWfNvKrWYjzqHSE6vMx44pYjN7OZHaEs3PZa_YrxGEzWPQBPk6I8j5QESwYsVIO9aeBDzTzjeNbkfjNjAiHn6ejuCjuSL2u-H6ff26R7sJWtA21OB58I4uyZj78HGaxnuUcpQnHT8tiGs-xupk1t5TI82zc0KKgLvoewD0-wZaP6Luh6KJOO4l6dcAyRBGhk4c62nVZOEVfvwi6N0byRTsII7W4u8Bzh378Xgevl5T52JblTNTfcnk0kxivBZKQk4k0JlGaYrjUs2OqsFuG758df_sCEqBsEVoqOIVsTNrVfc0CnkC4_Hx1hslq500eCD0ZRuTwXrQ.jpg&quot; alt=&quot;黑客利用 Claude 获取了几乎所有美国音乐节的免费门票近日，安全研究人员 Ian Carroll 披露，他借助 Anthropic 公司的 Claude AI（Opus 模型）成功发现并利用了 Front Gate Tickets（FGT）票务平台的一个严重未认证 SQL 注入漏洞&quot; loading=&quot;lazy&quot; /&gt;
      
      
        
      
    &lt;/div&gt;&lt;a href=&quot;https://www.wired.com/story/claude-helped-a-hacker-find-a-way-to-issue-tickets-to-almost-every-us-music-festival/&quot; target=&quot;_blank&quot;&gt;&lt;b&gt;黑客利用 Claude 获取了几乎所有美国音乐节的免费门票&lt;/b&gt;&lt;/a&gt;&lt;br /&gt;&lt;a href=&quot;https://www.wired.com/story/claude-helped-a-hacker-find-a-way-to-issue-tickets-to-almost-every-us-music-festival/&quot; target=&quot;_blank&quot;&gt;&lt;b&gt;&lt;br /&gt;&lt;/b&gt;&lt;/a&gt;近日，安全研究人员 Ian Carroll 披露，&lt;b&gt;他借助 Anthropic 公司的 Claude AI（Opus 模型）成功发现并利用了 Front Gate Tickets（&lt;/b&gt;&lt;mark&gt;&lt;b&gt;FGT&lt;/b&gt;&lt;/mark&gt;&lt;b&gt;）票务平台的一个严重未认证 SQL 注入漏洞。&lt;/b&gt;&lt;br /&gt;&lt;br /&gt;&lt;mark&gt;FGT&lt;/mark&gt; 作为 Live Nation/Ticketmaster 的子公司，负责美国多个大型音乐节和活动的票务系统，包括 EDC、Bonnaroo 和 Outside Lands 等。通过这一漏洞，&lt;b&gt;攻击者仅凭一个未认证的 GET 请求即可获得平台完全管理员权限，理论上能够无限发放免费 “comp” 门票，并随意访问数百万客户与员工记录。&lt;/b&gt;&lt;br /&gt;&lt;br /&gt;&lt;blockquote&gt;&lt;a href=&quot;https://cybersecuritynews.com/claude-ai-score-free-tickets-music/&quot; target=&quot;_blank&quot;&gt;研究人员在对 fgtapi 进行模糊测试时&lt;/a&gt;，发现 “device” 相关端点的 deviceUID 参数存在明显 SQL 注入风险。由于 AWS Web 应用防火墙的阻挡，传统工具如 sqlmap 难以奏效。&lt;br /&gt;&lt;br /&gt;他随后将问题交给 Claude，AI 迅速分析出可通过嵌套子查询绕过 WAF 检测，并利用 MySQL 字符串与数字相加自动转为 0 的特性，构建了高效的布尔盲 SQL 注入攻击。&lt;br /&gt;&lt;br /&gt;通过逐步提取数据，研究人员访问了包含超过 500 张表的 fgs 数据库，获取了员工邮箱、密码、实时重置令牌和 API 令牌等敏感信息，最终读取活跃的 RESET_TOKEN 成功劫持管理员账户。&lt;/blockquote&gt;&lt;br /&gt;&lt;br /&gt;&lt;b&gt;获得管理员权限后，攻击者不仅能随意发放免费门票、修改票价和库存，还能搜索客户订单数据库，甚至进一步劫持其他账户。&lt;/b&gt;Ian Carroll 在完成概念验证后选择负责任披露，未进行任何数据大规模窃取或恶意利用。Front Gate Tickets 收到报告后迅速修复了漏洞，并表示即将推出漏洞赏金计划。&lt;br /&gt;&lt;br /&gt;&lt;i&gt;via&lt;/i&gt; 匿名&lt;br /&gt;&lt;br /&gt;&lt;i&gt;&lt;b&gt;🗒&lt;/b&gt;&lt;/i&gt; 标签: &lt;a href=&quot;/search/%23Anthropic&quot;&gt;#Anthropic&lt;/a&gt; &lt;a href=&quot;/search/%23Claude&quot;&gt;#Claude&lt;/a&gt; &lt;a href=&quot;/search/%23FGT&quot;&gt;#FGT&lt;/a&gt;&lt;br /&gt;&lt;i&gt;&lt;b&gt;📢&lt;/b&gt;&lt;/i&gt; 频道: &lt;a href=&quot;https://t.me/GodlyNews1&quot; target=&quot;_blank&quot;&gt;@GodlyNews1&lt;/a&gt;&lt;br /&gt;&lt;i&gt;&lt;b&gt;🤖&lt;/b&gt;&lt;/i&gt; 投稿: &lt;a href=&quot;https://t.me/GodlyNewsBot&quot; target=&quot;_blank&quot;&gt;@GodlyNewsBot&lt;/a&gt;</content:encoded></item></channel></rss>