黑客在至少三年時(shí)間里利用一個(gè)流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服務(wù)器。這個(gè)插件是 jQuery File Upload，其作者為德國(guó)開(kāi)發(fā)者 Sebastian Tschan aka Blueimp，它是 GitHub 平臺(tái)上僅次于 jQuery 框架本身第二受歡迎的 jQuery 項(xiàng)目，被整合到數(shù)以百計(jì)的項(xiàng)目中。Akama 的安全研究員 Larry Cashdollar 今年早些時(shí)候在插件處理文件上傳的源代碼里發(fā)現(xiàn)了漏洞，該漏洞允許攻擊者向服務(wù)器上傳惡意文件，如后門和 Web shells。Cashdollar 稱這個(gè)漏洞已被廣泛利用，至少?gòu)?2016 年就開(kāi)始了。開(kāi)發(fā)者已經(jīng)釋出了 9.22.1 修復(fù)了漏洞。Blueimp 解釋了這個(gè)漏洞存在的原因：Apache v.2.3.9 的默認(rèn)設(shè)置是不讀取 .htaccess 文件，而他犯下的錯(cuò)誤在于依賴于 .htaccess 去執(zhí)行安全控制。他測(cè)試的 Apache 服務(wù)器啟用了 .htaccess，所以他從來(lái)沒(méi)有去檢查服務(wù)器的默認(rèn)設(shè)置，而 Apache 服務(wù)器從 v.2.3.9 起默認(rèn)不啟用 .htaccess。