Skip to main content

LoopDNS资讯播报

LoopDNS资讯播报
LoopDNS资讯播报
LoopDNS 综合资讯---简洁,及时,快速,准确


频道: @DNSPODT

电报讨论组: @LoopDNS

撤稿流程: https://t.me/loopdns/107752

  2. 中国假日旅游激增暗示消费者支出回升
    火车和其他旅行比去年强劲增长,
    消费者信心疲软,其他支出数据喜忧参半。

    根据官方报告,在全国新年假期的前六天,有超过6100万人次的铁路旅行。这是彭博新闻社在过去五年中汇编的数据中最高的,比 2023 年同期增长了 61%。

    假期期间一些关于公路和航空旅行的初步数据也显示比去年有所改善。据媒体援引商务部报道,中国电子商务平台上的酒店销售额同比增长了60%以上。

    Bloomberg

  3. 横琴全岛即将封关 人员及车辆出岛方式公布

    3月1日0时起,横琴粤澳深度合作区将封关运行。今天(17日),横琴粤澳深度合作区城市规划和建设局发布通告,公布横琴粤澳深度合作区“二线”通道人员及车辆出岛方式。通告明确,横琴大桥“二线”通道禁止货车(含工程车)通行;其余车辆及行人均可通行。

    消息来源: 大湾区之声

  4. 市场监管总局督促在线旅游等平台企业加强合规管理

    市场监管总局近日督促在线旅游、头部零售等平台企业加强合规管理,落实好消费者权益保护等相关责任,营造春节期间公平有序的网络市场环境和安全放心的消费环境。在消费者权益保护责任方面,畅通消费投诉举报渠道,及时回应消费者诉求和关切,妥善处理消费纠纷和平台内商家投诉,不得通过“霸王条款”等侵害消费者合法权益。在重点商品价格稳定责任方面,加强对米面油菜肉蛋奶、地方特色食品、文化娱乐、酒店住宿等民生消费重点领域的价格监控和分析,主动管控异常定价行为,严禁哄抬物价、囤积居奇、捏造和散布涨价信息。在食品安全和重要产品质量责任方面,以大宗食品、节日时令食品、“一老一小”消费品为重点,加大抽检排查力度,建立健全源头追溯机制,坚决守好食品安全底线,防范化解产品质量安全风险。在应急处置保平安责任方面,依托平台大数据优势,加强对人民群众出行的合理引导,做好突发事件应急处置预案,健全平台内部风险控制机制,对于苗头性、倾向性问题,早发现、早报告、早预警、早处置。

    消息来源: 新华社

  5. LoopDNS资讯播报
    重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞,攻击者可通过漏洞执行任意指令 最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时,作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中,由于server_name参数没有进行适当的校验,直接被用于SQL查询,从而导致了SQL注入的风险。 漏洞原理:这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔…
    重要: 宝塔 WAF 防火墙存在未授权访问漏洞,攻击者可通过漏洞访问后台API

    最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的未授权访问漏洞。这个漏洞允许未经授权的用户绕过登录验证,无视宝塔的随机登录地址,直接访问宝塔后台的某些API,实现远程控制

    漏洞原理:
    这个漏洞存在于/cloud_waf/nginx/conf.d/waf/public/waf_route.lua文件中,通过检查源代码可以发现,只要请求满足特定的IP和域名条件,就可以无需登录直接访问后台API,通过特定的HTTP请求头配置,攻击者可以模拟来自127.0.0.1的请求,并将Host头设置为127.0.0.251,从而绕过宝塔的访问控制。这种方式允许攻击者执行包括获取已拉黑IP列表、解封IP、删除所有日志等多种操作。

    注:这表明宝塔WAF的核心防护功能存在严重的安全设计缺陷。

    安全建议:
    1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
    2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
    3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。

    注:用户卸载 WAF 也可避免该问题

    参考消息:V2EX

  6. 重要: 宝塔 WAF 防火墙存在 SQL 注入漏洞,攻击者可通过漏洞执行任意指令

    最近在V2EX上有用户报告发现了一个关于宝塔 WAF 的SQL注入漏洞。在测试宝塔WAF的未授权访问漏洞时,作者无意中发现了一个可以执行任意SQL语句的SQL注入漏洞。这个漏洞存在于宝塔WAF的get_site_status API中,由于server_name参数没有进行适当的校验,直接被用于SQL查询,从而导致了SQL注入的风险。

    漏洞原理:这个宝塔SQL注入漏洞的原理基于对server_name参数的不当处理。在宝塔 WAF 的get_site_status API中,server_name参数没有进行适当的校验和清洗,直接被用于构造SQL查询。这种处理方式使得攻击者可以通过构造恶意的server_name参数值来操纵SQL语句,从而实现SQL注入攻击。

    通过构造特定的请求,作者成功地利用这个漏洞执行了SQL命令,包括获取数据库名称和MySQL版本信息,以及执行任意SQL查询。这表明攻击者可以利用这个漏洞对数据库进行任意操作

    官方响应:目前宝塔官方尚未对这个问题进行公开回复,可能已通过暗改方式修复,但用户仍需要注意

    安全建议:
    1. 宝塔用户应该立即检查自己的系统,看是否存在被这个漏洞利用的迹象。
    2. 关注宝塔官方的通告和更新,及时安装最新的安全补丁。
    3. 考虑采取额外的安全措施,比如使用第三方的安全工具来增强WAF的防护能力。

    注:用户卸载 WAF 也可避免该问题

    参考信息:V2EX

  7. 2023年我国办理出口退税约1.8万亿元

    记者近日从国家税务总局了解到,2023年,受国际贸易形势向好影响,我国累计办理出口退税约1.8万亿元。国家税务总局深化跨境服务,更好支持对外开放。

    消息来源: 新华社

  8. OPPO和vivo或停止今年发售上下折机型计划

    日前,天风证券分析师郭明錤今天发布市场研究简报,简要回顾了今年1月到春节(2月中旬)期间手机产业的重要更新。其中提到,折叠手机全球近期销售动能较为放缓。Samsung自去年下修折叠手机出货目标(1500万台砍到1000万台)后,今年的出货目成长标(1200万台)较保守。中国市场销售放缓的原因在于,华为以外的品牌销售利润较低的上下折机型兴趣渐失,OPPO和vivo甚至已停止原本预计在2024年发售的新款上下折机型的计划。

    消息来源: 新浪财经

  9. 特朗普集团在欺诈审判中被罚款3.65亿美元

    据彭博社报道,唐纳德·特朗普和他的房地产公司因夸大其净资产构成欺诈,被处以超3.5亿美元罚款。纽约州曼哈顿法官当日对美国前总统特朗普的民事欺诈案作出裁决。由于特朗普将其净资产夸大了数十亿美元,构成了严重欺诈行为,法官裁定对特朗普处以超3.5亿美元的罚款,永久禁止特朗普进入纽约房地产行业,并大幅限制他在该州开展业务的能力。此外,法官还裁定对特朗普的两个儿子小唐纳德·特朗普和埃里克·特朗普实施五年的行业禁令。

  11. 2023 年 12 月,中国增持 343 亿美元美国国债至 8163 亿美元,是自去年 4 月起连续 7 个月减仓后第二次加仓;日本增持 107 亿美元美国国债至 11382 亿美元,为美国第一大债主。

    来源:财经慢报频道

  12. LoopDNS资讯播报
    日经225指数涨幅扩大至1.8% 日经225指数盘初涨幅迅速扩大至1.8%,续创1990年以来新高。东京电子涨近5%,富士通、迅销涨幅居前。 来源:雪球7X24资讯
    如果算上汇率的话,日元兑美元一年贬值10%,而日经一年涨了40%。

    日本现在最大的问题就是工资增长赶不上通胀,按之前的数据,对比通胀,实际工资连续负增长,(日经中文:日本消费持续低迷,实际工资连续18个月负增长)这也是GDP意外连续第二个季度萎缩的原因。

    而日本货币贬值对于本国商社又是利好,所以就导致了日经的上涨,但是日本科技股其实是跌的(比如cyberagent几乎腰斩)。

    所以国内社交平台一直在讨论,股市好就一定等于国民过得好吗,并且一直拿日本当例子。本小编说一个很欠打的事实,股市赚不赚钱这事确实和普通人没啥关系,就像国内经常嘲讽月薪3000一样,一个一个月只能拿22万日元的普通日本人基本留不下钱去投资,靠投资赚钱永远是中产的事。但是如果资本市场没了财富效应,那大部分人也找不到那22万日元的工作了。

  13. 俄罗斯央行维持基准利率在16.00%不变,预估为16.00%。俄罗斯央行表示,预计通胀将在2024年回归目标水平,并在接近4%的水平上进一步稳定,前提是紧缩的货币条件将在经济中长期维持。

    来源:雪球7X24资讯

  14. 周鸿祎谈视频模型Sora:未必短期能击败TikTok,但中美AI差距将进一步拉大

    据新浪科技,360董事长周鸿祎谈到了人工智能企业OpenAI今天发布的文字转视频模型Sora。周鸿祎表示,Sora对短视频行业有巨大的颠覆,但未必能那么快击败TikTok,更多是创作力工具。此外,他认为,中美两国的人工智能差距在拉大。

    来源:格隆汇

  15. Keep收盘涨超30% 近日启动股份回购计划

    Keep今日收盘涨32.47%,报5.14港元,成交额1178.08万港元。消息面上,Keep近日宣布启动股份回购计划,本次回购将投入1600万港元。

  16. 富时中国A50指数期货持续走高,涨超1.5%。

    部分热门中概股盘前走高,理想汽车涨超5%、小鹏汽车和爱奇艺涨超4%、京东涨超3%。

    来源:雪球7X24资讯

  18. 日经225指数涨幅扩大至1.8%

    日经225指数盘初涨幅迅速扩大至1.8%,续创1990年以来新高。东京电子涨近5%,富士通、迅销涨幅居前。

    来源:雪球7X24资讯