宝塔面板的官方Demo疑被黑，HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过

宝塔面板的官方Demo疑被黑，HostLoc的网友认为这似乎印证了近期宝塔面板存在重大漏洞的传言。宝塔面板此前曾发布公告称“经过排查没有发现漏洞”。该Demo已经下线。 宝塔官方回复用户疑问，说DEMO没有防护，而且能登陆要改很容易。否认这是由于安全漏洞造成的。

软件宝塔面板功能：服务器管理

软件宝塔面板 软件功能：服务器管理 支持平台：#Windows #Linux 软件简介：宝塔面板是一款轻量级的服务器管理软件。它提供了方便的服务器管理界面,用户可以通过浏览器很简单地完成服务器的管理和维护工作。 主要功能： ◉ 网站管理:支持网站创建、删除、设置域名、设置端口、设置目录等 ◉ 数据库管理:支持 MySQL、SQLServer、PostgreSQL 等数据库的管理 ◉ FTP 管理:提供 FTP 用户和用户组管理,支持虚拟用户和系统用户 ◉ 文件管理:提供方便的文件管理界面,支持文件上传、下载、压缩、解压以及权限修改等功能 ◉ 操作日志:记录服务器的操作日志 ◉ 进程管理:可以查看服务器正在运行的进程 ◉ 监控报警:提供实时的 CPU、内存、硬盘、网络等服务器监控 ◉ 计划任务:支持自定义脚本和命令 软件下载：点击下载 使用教程：点击打开

【近期出现大量针对性网络钓鱼攻击，包括通过Google文档分享进行攻击】

【近期出现大量针对性网络钓鱼攻击，包括通过Google文档分享进行攻击】 5月25日消息，推特用户tayvano_ 发推表示，最近看到有大量十分具有针对性的网络钓鱼攻击，其中最致命的一种是通过 Google 文档分享来进行攻击，而且这个分享看起来像是你认识的某个人关于你感兴趣的某件事情所发出来的，它不会被标记为垃圾邮件，并且看起来非常真实，注意不要点击。 慢雾创始人余弦转发提醒称，小心你的电脑被朝鲜黑客等组织投毒，尤其警惕下那些文档，不管是 Windows 还是 Mac 还是 Linux，也不管你安装了什么杀毒软件。一旦控制了你的电脑，黑客有无数手法盗走你的加密货币。

宝塔在7.9.3版本前存在RCE漏洞

宝塔在7.9.3版本前存在RCE漏洞 宝塔在7.9.3版本之前存在较大漏洞，触发区分别为网站日志和面板日志 影响范围 <7.9.3 网站日志漏洞为宝塔在获取Nginx日志时无任何过滤，攻击者只需要简单的拼接和转换即可XSS，在部分函数[ExecShell函数]中使用了 subprocess.Popen 执行了命令，但无任何过滤行为，后台管理者只要访问错误日志必定触发执行 [注：部分开心版的网站防火墙绕过需要转换链接字符才可拼接语句] 面板日志漏洞为宝塔将错误日志和运行日志记录在相同地方，其触发方式于上面相同

【慢雾首席信息安全官：近期出现假冒UniSat的钓鱼网站，用户请谨慎辨别】

【慢雾首席信息安全官：近期出现假冒UniSat的钓鱼网站，用户请谨慎辨别】 5月13日消息，慢雾首席信息安全官 @IM_23pds 在社交媒体上发文表示，近期有假冒比特币铭文钱包及交易市场平台 UniSat 的钓鱼网站出现，经慢雾分析，假网站有明显的传统针对 ETH、NFT 钓鱼团伙的作案特征，或因近期 BRC-20 领域火热故转而制作有关该领域的钓鱼网站，请用户注意风险，谨慎辨别。

【微软针对区块链上的网络钓鱼攻击发出警告】

【微软针对区块链上的网络钓鱼攻击发出警告】 2月18日消息，微软365防御者研究团队表示，尤其是网络钓鱼已经蔓延到区块链、托管钱包和智能合约上大行其道。同时，他们强调了这些威胁的持久性，以及在未来相关系统和框架中构建安全基础的必要性。微软的网络安全研究人员说，针对 Web3 和区块链的网络钓鱼攻击可以采取多种形式。其中，较为主要的一种是攻击者试图获得私人的加密密钥来访问包含数字资产的钱包。虽然电子邮件的网络钓鱼尝试确实发生了，但社交媒体的诈骗也很猖獗。例如，诈骗者可能会向用户直接发送消息，公开请求加密货币服务的帮助 ，并在假装来自支持团队的同时，要求提供密钥。 微软提示：“在较高的层面上，我们建议软件开发人员提高 Web3 的安全可用性。与此同时，最终用户需要通过额外的资源来明确验证信息，例如查看项目的文档和外部声誉/信息网站。