search
尋找貓咪~QQ 地點 桃園市桃園區 Taoyuan , Taoyuan

知名終端模擬軟體XSHELL多版本存在後門,或上傳用戶伺服器賬號密碼!

知名終端模擬軟體XSHELL多版本存在後門,或上傳用戶伺服器賬號密碼!

簡介

Xshell是一款強大,著名的終端模擬軟體,被廣泛的用於伺服器運維和管理,Xshell支持SSH,SFTP,TELNET,RLOGIN和SERIAL功能。它提供業界領先的性能和強大功能,在免費終端模擬軟體中有著不可替代的地位。企業版中擁有更專業的功能其中包括:標籤式的環境,動態埠轉發,自定義鍵映射,用戶定義按鈕,VB腳本和用於顯示2 byte字元和支持國際語言的UNICODE終端。

Xshell提供許多用戶友好的,在其他終端終端模擬軟體沒有的功能。這些功能包括:通過拖放文件進行Zmodem文件上傳和Zmodem文件下載,簡易模式,全屏模式,透明度選項和自定義布局模式,等。使用Xshell執行終端任務節省時間和精力。

目前xshell最高版本為 Xshell 5 Build 1326 該版本更新於2017年8月5日。

官方公告

值得一提的是1326的升級提示很有意思: 提示修復了 nssock2.dll 修復了一個遠程漏洞(66666...Orz)

存在後門版本(已驗證)

Xshell Build 5.0.1322

Xshell Build 5.0.1325

Xmanager Enterprise 5.0 Build 1232

Xmanager 5.0 Build 1045

Xftp 5.0 Build 1218

Xftp 5.0 Build 1221

Xlpd 5.0 Build 1220

PS:國內大量下載站,目前都是上述有問題的版本

人民日報:適時建立互聯網金融業務第三方接管機制

近年來,互聯網金融快速發展,在發揮積極作用的同時也集聚了一些風險隱患,加強互聯網金融監管的呼聲越來越高。政府監管是互聯網金融規範發展的根本保障,行業自律是互聯網金融可持續發展的內在基礎。二者猶如規範互聯網金融秩序的兩駕馬車,只有各司其職、密切配合,方能提升整個市場的安全性和有效性,推動互聯網金融行業健康有序發展。

進一步完善監管制度

2015 年,人民銀行等十部委聯合發布《 關於促進互聯網金融健康發展的指導意見 》,提出了互聯網金融監管的基本原則和模式,互聯網金融監管逐步走向規範。隨著互聯網金融深入發展,有必要建立全面監管的制度體系。

一是市場准入制度。明確互聯網企業從事金融活動的市場准入政策和監管規則,對經營者實繳註冊資本、經營者公司治理結構、高層人員任職條件等作出明確要求。

二是營運資本維持制度。營運資本代表經營主體的短期償債能力和稀釋風險能力。在互聯網金融市場逐步走向成熟的過程中,應制定相關標準,確保互聯網金融公司維持與運營規模相適應的營運資本。

三是第三方存管制度。銀監會於 2017 年年初出台了《網路借貸資金存管業務指引》。目前,大多數 P2P(個人對個人)網貸公司已經逐步將資金轉為由商業銀行存管。在未來的監管中,應將存管和外部審計的要求全面落到實處。

四是信息披露制度。互聯網金融本質上仍是一種金融活動,信息披露不可或缺。應對互聯網金融的信息披露原則、信息披露管理與責任、信息披露內容等作出全面規定,建立健全互聯網金融信息披露制度。

五是消費者權益保護制度。應建立包括特定業務審核制度、消費者隱私保護制度、消費糾紛解決機制等的消費者權益保護制度。六是市場退出機制。應在做好網路借貸資金第三方存管的前提下,完善風險準備金管理制度,適時建立互聯網金融業務第三方接管機制。

充分發揮行業自律作用

互聯網金融創新速度較快,而相關制度的制定修改相對緩慢。因此,在相關立法出台之前,應充分發揮行業自律的作用。相對於政府監管而言,行業自律在降低監管負擔和規製成本、避免市場主體與監管主體之間的信息不對稱、提高專業性和標準化程度等方面有著不可替代的作用。隨著互聯網金融在的迅速發展,2011 年以來,各種地方性行業協會或自發性行業協會陸續成立。2016 年 3 月,人民銀行會同銀監會、證監會、保監會組織建立的全國性互聯網金融行業自律組織——互聯網金融協會成立,承擔制定互聯網金融行業標準、促進從業機構業務交流和信息共享、建立行業自律懲戒機制等重要職責。然而,從滿足互聯網金融健康發展需要的角度看,行業自律的作用目前還沒有充分發揮,相關工作有待進一步加強。

首先,應進一步完善全國性的行業協會組織。根據不同互聯網金融業務模式,進一步完善行業協會的組織架構,明確其職責與業務範圍。其次,應儘快制定統一的行業標準和從業行為準則。在與傳統金融業務無本質差異的領域,可以直接沿用原有的金融行業標準和國家標準;對有別於傳統金融行業的業務,應建立新的行業標準和準則。最後,應建立行業內部信息共享和披露機制,並最終與行業外部監管系統對接。在從事同一業務的互聯網金融經營者之間搭建信息溝通與共享的橋樑,在消費者信用、行業經營數據等方面實現共享,既可以降低經營者的審核成本,又可以完善互聯網金融資料庫,還有助於全面建立和完善個人信用體系。將這些數據納入金融業綜合統計範圍,還可以作為進一步修訂外部監管指標的依據。

串擾傳輸攻擊:使用 USB 裝置可通過攔截傳輸信號秘密竊取系統敏感數據

據外媒 8 月 13 日報道,澳大利亞研究人員近期發現攻擊者可以使用 USB 埠數據線通過攔截目標系統設備的傳輸信號秘密竊取敏感數據。這一現象在技術上被定義為 「通道至通道的串擾傳輸攻擊(channel-to-channel crosstalk leakage)」。

研究表明,如果一款惡意設備或被篡改設備插入同一個(外部或內部) USB 集線器上的相鄰埠,攻擊者則可當即捕獲該設備上的敏感信息,也意味著用戶密碼或其他私人數據存在被盜風險。攻擊者將惡意 USB 埠數據線插入相鄰埠設備后,能夠監視設備數據流、收集數據並將其傳輸至攻擊者伺服器。此外,攻擊者還可以通過相鄰 USB 埠收集任何以未加密形式傳輸的內容。

研究人員通過改良后的 USB 檯燈作為實驗研究設備,用於監控目標系統設備上的每一個按鍵記錄並通過藍牙將數據發送至另一台計算機。隨後,攻擊者使用計算機上運行的軟體進行解密,以捕獲正在輸入的敏感數據。

USB 埠設計基於一種假設:所有連接都在用戶的控制之下,而且一切過程都可信任。不然在數據傳輸之前,USB 將永遠不會安全。

研究人員在測試了 50 余個 USB 裝置后發現,超過 90% 的設備容易遭受此類攻擊。因此,研究人員在此提醒用戶除非完全信任的情況下,不然請勿將任何重要信息通過 USB 進行連接傳輸。對於用戶來說,這意味著不要連接其他陌生設備;對於安全組織來說,應對整個供應鏈進行驗證以確保設備安全。據悉,研究人員將於下周在加拿大溫哥華舉辦的 USENIX 安全會議上發表該研究報告。

黑海發生首例GPS誘騙攻擊?或為俄新式電子戰手段

英媒稱,關於黑海衛星導航出現問題的報告暗示俄羅斯可能在測試一種用於誘騙GPS的新系統。這是一種從「無賴國家」到罪犯等所有勢力均可利用的新式電子戰手段面世的首個跡象。據英國《新科學家》周刊網站8月10日報道,今年6月22日,美國海運局向有關部門提交了一份表面上平淡無奇的事件報告。

俄羅斯新羅西斯克港附近一艘船的船長發現,船上全球衛星定位系統(GPS)顯示的船隻位置有誤——顯示船隻位於陸地上距海岸超過32公里的格連吉克機場。

經檢查確認導航設備工作正常后,船長聯繫了附近其他船隻。這些船隻的自動識別系統信息顯示它們全都位於同一機場。至少20艘船受到影響。

儘管該事件尚未得到確認,但專家們認為,這是利用GPS誤導位置信息的首個例證。這是一種有關方面長期以來一直警告要提防的誘騙攻擊,但此前現實中從未發生過。

此前,GPS的最大擔憂一直是噪音可以干擾GPS衛星信號。雖然這種干擾會產生混亂,但也容易被發現。當因受到干擾而丟失信號時,GPS接收器會發出警報。相比之下,誘騙攻擊的欺騙性更強:地面基站發出的假信號會迷惑衛星接收器。英國皇家導航學會前負責人戴維·拉斯特稱:「干擾只會導致接收器停止工作,而誘騙攻擊導致接收器撒謊。」

得克薩斯大學奧斯汀分校的托德·漢弗萊斯,多年來一直警告GPS誘騙攻擊的危險即將到來。2013年,他演示了一艘擁有先進導航系統的超級遊艇如何被GPS誘騙攻擊而偏離航道。漢弗萊斯說:「接收器在黑海事件中的情況非常像我的團隊進行的模擬攻擊中出現的情況。」

漢弗萊斯認為,這是俄羅斯在測試一種新式電子戰。過去一年,GPS誘騙攻擊一直引發混亂,導致莫斯科中心地帶的電話應用程序工作異常。貌似以克里姆林宮為中心的假信號將所有附近人員的位置顯示為32公裡外的伏努科沃機場。這可能是出於安保原因。許多北約制導炸彈、導彈和無人機依靠GPS導航,成功的誘騙攻擊將使它們難以擊中目標。

往期熱門內容推薦

  • 看雪滲透測試服務介紹

  • 議題徵集 | 2017 安全開發者峰會

  • 美國科學家首次利用 DNA 攻擊計算機,目前風險不大

  • 微信微博百度貼吧涉嫌違反《網路安全法》被立案調查

  • 微軟發布警告:新型攻擊技術支持釣魚郵件

  • .....



熱門推薦

本文由 yidianzixun 提供 原文連結

寵物協尋 相信 終究能找到回家的路
寫了7763篇文章,獲得2次喜歡
留言回覆
回覆
精彩推薦