黑客在至少三年时间里 利用 一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload ,其作者为德国开发者 Sebastian Tschan aka Blueimp,它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,被整合到数以百计的项目中。Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞,该漏洞允许攻击者向服务器上传恶意文件,如后门和 Web shells。Cashdollar 称这个漏洞已被广泛利用,至少从 2016 年就开始了。开发者已经释出了 9.22.1 修复了漏洞。Blueimp 解释了 这个漏洞存在的原因:Apache v.2.3.9 的默认设置是不读取 .htaccess 文件,而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess,所以他从来没有去检查服务器的默认设置,而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:
- Joomla历史插件漏洞集合
- WP AMP插件漏洞分析
- 【漏洞复现】WordPress插件Quizlord 2.0 XSS漏洞复现与分析
- WordPress插件WooCommerce任意文件删除漏洞分析
- Web安全之Openfire的插件脚本上传漏洞复现
- WordPress 捐赠插件漏洞,导致网站遭受零日攻击
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
Python机器学习基础教程
[德]安德里亚斯·穆勒、[美]莎拉·吉多 / 张亮 / 人民邮电出版社 / 2018-1 / 79.00元
本书是机器学习入门书,以Python语言介绍。主要内容包括:机器学习的基本概念及其应用;实践中最常用的机器学习算法以及这些算法的优缺点;在机器学习中待处理数据的呈现方式的重要性,以及应重点关注数据的哪些方面;模型评估和调参的高级方法,重点讲解交叉验证和网格搜索;管道的概念;如何将前面各章的方法应用到文本数据上,还介绍了一些文本特有的处理方法。一起来看看 《Python机器学习基础教程》 这本书的介绍吧!
