Главная  |  ДИСКОРД

Проблема безопасности

недавно виделПроблемы с безопасностью Discord возникают часто. В этой статье безопасность Discord используется в качестве темы, чтобы поделиться с вами проблемами безопасности в Discord.

 

на самом делеПроблемы безопасности Discord уже давно подвергаются критике, но нельзя полностью винить в этом Discord, поскольку Discord слишком открыт. Как и в оригинальном Android, любое приложение может получить практически все разрешения системы. Следовательно, если какое-либо приложение имеет риски безопасности, то и вся система будет подвержена рискам безопасности. Говоря о трех ролях Discord (обычные пользователи, операторы и разработчики), неспособность любой стороны обратить внимание на безопасность также приведет к проблемам с безопасностью.

 

Безопасность – это немаловажный вопрос. Я надеюсь, что эта статья поможет читателям трех вышеуказанных ролей.

 

Для обычных пользователейПользователи Discord несут убытки главным образом из-за того, что на Discord слишком много фишинговых сообщений. Поэтому обычным пользователям во избежание фишинга необходимо обратить внимание на следующие моменты:

 

Закрыть личное сообщение

 

 

Если эта опция включена,Участники Discord могут напрямую инициировать с вами приватные чаты, а аватары и учетные записи этих участников могут быть точно такими же, как у администраторов, которых вы видите в Discord. В настоящее время вы можете ослабить бдительность и доверять этому аккаунту, поэтому, когда они отправят вам ссылку, вы можете быть успешно подвергнуты фишингу.

 

Кроме того, на запросы друзей тоже нужно обращать внимание. Недавно яЯ задал вопрос в Discord OpenSea, и в результате аватар и учетная запись были точно такими же, как учетная запись администратора Discord для запроса добавления в друзья. Просто игнорируйте эту ситуацию.

 

Не нажимайте на неизвестные ссылки

 

 

Этот скриншотВ официальном Discord OpenSea говорится, что OpenSea будет сотрудничать с YouTube для выпуска NFT, а свободных мест всего 100. Начинающие пользователи могут сразу почувствовать FOMO, увидев эту новость. После нажатия на ссылку на скриншоте веб-сайт, который они видят, выглядит следующим образом.

 

 

Увидев, что с доменным именем и веб-сайтом все в порядке, и думая, что мест всего 100, вы можете быстро нажать «Заявить», чтобы получить Mint, но после выполнения транзакции ваш NFT будет потерян.

 

Поэтому нужно быть бдительными, видя подобные новости. Вообще говоря, каждая сторона проекта задает вопросыДля NFT новости будут публиковаться заранее. Подобные новости, которые внезапно сообщают вам о том, что NFT будет выпущен, как правило, являются ложными.

 

Как распознать фишинговые сайты

иногда вНезависимо от того, кто отправляет ссылку в Discord (это может быть ссылка, отправленная другом группы, администратором или роботом), перед нажатием вам сначала необходимо проверить, является ли посещенное доменное имя официальным доменным именем проекта. Если нет, то нужно быть очень бдительным после нажатия на вход:

 

Если сайт вызываетВсплывающее окно MetaMask запрашивает только адрес вашего кошелька, что безопасно, как показано на рисунке ниже:

 

 

 Эта операция разрешает веб-сайту только просматривать адрес вашего кошелька и не будет выполнять никаких других операций с вашими активами.

 

Когда вы продолжаете просматривать веб-сайт и вам необходимо выполнять операции, связанные с кошельком, вам необходимо обратить особое внимание. Как правило, веб-сайт вызывает у васMetaMask имеет в общей сложности следующие типы операций:

 

передача

При переводе денегВсплывающее окно метамаски

 

Если веб-сайт отображает запрос на перевод на скриншоте, вам необходимо обратить внимание на то, является ли целевой адрес перевода адресом, с которого вы хотите перевести, и правильна ли сумма перевода.

 

Для переводов это относительно просто, достаточно определить адрес платежа и сумму.

 

знак

Вообще говоря, цель получения подписи — доказать, что вы являетесь владельцем адреса кошелька, напримерВ Discord есть робот Collabland. Он использует подписи для проверки того, что вы являетесь владельцем адреса кошелька и что адрес кошелька содержит NFT. После прохождения проверки вам будет предоставлен сертификат личности держателя.

 

 

Если содержимое подписи, которое вы видите, читается в виде обычного текста, проблем не возникнет. Вы можете понять, что означает этот отрывок. Но обратите внимание, что неизбирательное подписание также может привести к потере активов.

 

 

Но если содержание подписи, которое вы видите, похоже на скриншот выше, и вы не понимаете, что это такое, не делайте этого. Поскольку содержимое подписи в приведенном выше всплывающем окне является подписью ордера на продажу OpenSea, но цена ордера на продажу может быть установлена ​​злоумышленником на уровне 0,001E. Если вы случайно подпишете это на фишинговом веб-сайте, ваш NFT может быть продан мошеннику по низкой цене.

 

Поэтому существует общий принцип подписания сообщений. Если вы это понимаете, подпишите. Если вы этого не понимаете, не подписывайте.

 

Контрактный звонок

На многих веб-сайтах каждый сталкивается с большим количеством контрактных вызовов, таких кактакие операции, как монетный двор NFT и т. д.

 

 

 Если это вызов по контракту, первое, что вам нужно определить, это является ли вызываемый «адрес контракта» официально объявленным адресом контракта. Убедившись, что адрес контракта в порядке, вы можете посмотреть «тип функции» вызывающего контракта. Если тип «вызывающая функция» отображает такие слова, как «approvalForAll», «transfer», «safeTransferFrom» и т. д., вам следует быть осторожными, поскольку это дает разрешение другим лицам передавать ваши активы, что также является наиболее распространенным методом фишинга.

 

Таким образом, общий принцип вызовов контракта таков: убедитесь, что адрес контракта верен, и убедитесь, что тип операции не является правильным.такие слова, как утверждение, setApprovalForAll, передача, SafeTransferFrom и т. д.

 

Для операторов

Выполняя описанное выше для большинства сценариев, обычные пользователи могут избежать ловушек, но, какОператоры Discord должны быть более ответственными, чем обычные пользователи, чтобы обеспечить безопасность членов сообщества и избежать потерь пользователей из-за халатности операторов в области безопасности. Операторам Discord также следует обратить внимание на следующие моменты:

 

включать2ФА

Не включеноВ случае 2FA после утечки пароля учетной записи злоумышленник может использовать учетную запись администратора для публикации фишинговой информации.

 

Не переходите по незнакомым ссылкам

В настоящее время установлено, что они нацелены наФишинговый сайт администратора Discord. После того, как администратор войдет на веб-сайт и получит направление, злоумышленник получит сеанс Discord администратора. Злоумышленник может использовать сеанс для обхода 2FA и проверки входа в систему и напрямую взять на себя управление сообществом Discord в качестве администратора. Следующий твит содержит подробный анализ, заинтересованные друзья могут посмотреть.

 

 

представлять как можно меньшеБот

за каждое дополнительное сообществоБоты создают дополнительные риски для безопасности. Любой бот, используемый злоумышленниками, может запустить МОШЕННИЧЕСКИЕ атаки на Discord сообщества.

 

Сообщество Crepto представило только одного внешнего бота, CollabLand, для проверки личности владельца. Ведь в Discord это уже стандартно. Если использование других ботов не требуется, сообщество Crepto больше не будет их представлять.

 

представлятьУ бота слишком много разрешений

Когда администраторы Discord внедряют ботов, им необходимо обращать внимание на разрешения сервера, запрашиваемые ботом, и придерживаться принципа минимальной авторизации. Если окажется, что боту с простыми функциями требуются права администратора, лучше не вводить его. Потому что, если проектная часть этого бота подвергнется атаке, в лучшем случае он просто рассылает спам-сообщения в ваше сообщество Discord, в худшем — может исключить всех пользователей и удалить все каналы и записи.

 

 

Выше это введениеCollabLand Bot запрашивает разрешения на сервере. CollabLand Bot требует авторизации с высшими полномочиями «Администратора». Функция CollabLand Bot — предоставить определенную роль сертифицированному держателю. На самом деле, CollabLand Bot нужно только запрашивать разрешение на управление Участником и Ролью, но я не знаю, почему он запросил самое высокое разрешение? Я также надеюсь, что знающие друзья дадут мне знать.

 

Итак, дляДля менеджеров Discord безопасность Discord в основном заключается в:

 

Безопасность учетной записи администратора

Безопасность ботов

Безопасность учетных записей администраторов может быть обеспечена командой, повышающей осведомленность о безопасности, ноМенеджеры ничего не могут поделать с безопасностью ботов, поэтому менеджеры могут бороться с этим, только придерживаясь принципа минимального использования ботов и предоставления как можно меньшего количества авторизации.

 

Для разработчиковТокен бота должен быть безопасным

Все разработчики Discord знают, что спасательный круг бота лежит в токене. После того, как токен получен злоумышленником, злоумышленник может использовать вашего бота, чтобы делать все, что он хочет, поэтому вы должны уделять токену бота такое же внимание, как и безопасности закрытого ключа вашего кошелька.

 

бегатьБезопасность сервера ботов

Тему безопасности серверов можно расширять бесконечно, но напоминаем:Безопасность Bot Token очень важна. Бот работает на сервере, поэтому, если сервер будет скомпрометирован, токен также будет утек. Разумеется, все данные на Дискорде, полученные Ботом, также будут улиты.

 

Возьмите за привычку регулярно менять его.Токен-привычки

Точно так же, как некоторые веб-сайты регулярно требуют от пользователей сменить пароли, хотяDiscord не заставляет разработчиков регулярно менять Токен Бота, но я считаю необходимым выработать привычку регулярно менять Токен, особенно когда у вас большое количество пользователей Бота.

 

 Бот запрашивает разрешения по требованию

Не просите об этом, не подумавРазрешения «Администратора» на сервере Discord, подтвердите, какие функции должен использовать ваш бот, а затем запросите соответствующие разрешения. Таким образом, даже если вашего Бота взломают, степень ущерба будет контролироваться в определенных пределах.

 

Общий принцип для разработчиков заключается в обеспеченииБезопасность токена бота и минимальные требования для разрешений вашего бота.

 

 

 




数҈字҈星҈球҈͏
Рекомендуемые
DISCORD – Как использовать фильтрацию номеров, чтобы персонализировать взаимодействие с пользователем?
11-24
Ключевые шаги по проверке номера DISCORD для повышения эффективности маркетинга в социальных сетях
11-24
Как использовать проверку номеров DISCORD для достижения персонализированного маркетинга в социальных сетях?
11-24
Инструмент проверки номеров DISCORD для точного маркетинга в социальных сетях
11-24
DISCORD: инструменты цифрового маркетинга выходят на первый план
11-24
Discord: новая платформа для социального взаимодействия в играх
08-11
Telegram开通筛选、活跃筛选、互动筛选、性别筛选、头像筛选、年龄筛选、在线筛选、精准筛选、时长筛选、开机筛选、空号筛选、手机设备筛选
为全球客户提供支持全球236个国家的精准号码批量的筛选检测
Связаться с нами
如何添加Telegram好友?
Канал: t.me/xingqiupro
Telegram筛号平台怎么样?
Поддержка: @xq966
如果在国内使用Telegram?
Ввод ресурсов: @tax678
QSTAR TECHNOLOGY SDN.BHD
Address:Jalan Stesen Sentral 5, Kuala Lumpur, 50470
Important:xingqiu.pro Только USD, другие валюты могут быть мошенничеством. Осторожно.
Перед использованием просмотрите xingqiu.pro Конфиденциальность и Условия

Войти

Канал
我可以在没有电话号码的情况下登录 Telegram 吗?
Проверка