黑客在至少三年時間里利用一個流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服務(wù)器。這個插件是 jQuery File Upload，其作者為德國開發(fā)者 Sebastian Tschan aka Blueimp，它是 GitHub 平臺上僅次于 jQuery 框架本身第二受歡迎的 jQuery 項目，被整合到數(shù)以百計的項目中。Akama 的安全研究員 Larry Cashdollar 今年早些時候在插件處理文件上傳的源代碼里發(fā)現(xiàn)了漏洞，該漏洞允許攻擊者向服務(wù)器上傳惡意文件，如后門和 Web shells。Cashdollar 稱這個漏洞已被廣泛利用，至少從 2016 年就開始了。開發(fā)者已經(jīng)釋出了 9.22.1 修復(fù)了漏洞。Blueimp 解釋了這個漏洞存在的原因：Apache v.2.3.9 的默認(rèn)設(shè)置是不讀取 .htaccess 文件，而他犯下的錯誤在于依賴于 .htaccess 去執(zhí)行安全控制。他測試的 Apache 服務(wù)器啟用了 .htaccess，所以他從來沒有去檢查服務(wù)器的默認(rèn)設(shè)置，而 Apache 服務(wù)器從 v.2.3.9 起默認(rèn)不啟用 .htaccess。