换肤

logo

logo

流行 jQuery 插件 0day 漏洞被利用至少三年

2018-10-23 10:43:02 | 来源:站长之家 | 作者:
Apache v.2.3.9 的默认设置是不读取 .htaccess 文件,而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess,所以他从来没有去检查服务器的默认设置,而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。

 利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload,其作者为德国开发者 Sebastian Tschan aka Blueimp,它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,被整合到数以百计的项目中。Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞,该漏洞允许攻击者向服务器上传恶意文件,如后门和 Web shells。Cashdollar 称这个漏洞已被广泛利用,至少从 2016 年就开始了。开发者已经释出了 9.22.1 修复了漏洞。Blueimp 解释了这个漏洞存在的原因:Apache v.2.3.9 的默认设置是不读取 .htaccess 文件,而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess,所以他从来没有去检查服务器的默认设置,而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。

QQ截图20181023091755.jpg

声明:本站原创文章版权归专门网所有,编译文章的中文版权归专门网所有,转载文章版权归原作者所有,编译和转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。转载本站作品用于非商业用途无需许可,但需注明出处为专门网,商业用途须取得本站书面授权许可。
广告合作请联系QQ755851098

我要评论

共有 0 条评论

加入51NB

资讯编辑

职位描述:

    1、负责网站资讯的编辑与发布;
    2、负责网站日常维护,喜欢策划撰写原创话题;

职位要求:

    1、 大专及以上学历;
    2、 有一定文字功底,能独立进行写作、编辑
    3、 对数码产品有浓厚兴趣,关注互联网新动态;
    4、 擅长使用新媒体运营工具;
    5、 工作具有很大灵活性,希望能发挥个人主观能动性。
请将您的简历发送至: service@51nb.com

翻译编辑

职位描述:

    翻译NotebookCheck等外媒评测文章;

职位要求:

    1、 拒绝机翻;
    2、 行文应言简意赅,考虑国内语言习惯;
    3、 能够学习使用简单的html格式代码。
请将您的简历发送至: service@51nb.com

评测编辑

职位描述:

    1、撰写数码产品相关开箱与评测;
    2、能够灵活运用外媒文章素材;

职位要求:

    没啥要求,能写出个性就行。
请将您的简历发送至: service@51nb.com

论坛编辑

职位描述:

    1、负责在论坛制造高质量的讨论话题;
    2、负责轻度的论坛板块管理工作;

职位要求:

    有玩论坛经验者优先
请将您的简历发送至: service@51nb.com

最新评论

会员登录 ×