龙空技术网

1024程序员节早间日报|jQuery文件上传存在漏洞

沪漂码农小邹 50

前言:

现时小伙伴们对“jquery漏洞利用”可能比较关注,我们都需要剖析一些“jquery漏洞利用”的相关知识。那么小编也在网上收集了一些有关“jquery漏洞利用””的相关资讯,希望同学们能喜欢,咱们快快来学习一下吧!

1、jQuery文件上传漏洞存在8年,只有黑客知道

jQuery的框架中存在数千个插件。尽管每个插件的使用方法都有明确的教程,但相当一部分的插件的安全问题在多年的使用时间中从未被人重视。

Akamai SIRT的安全研究员Larry Cashdollar在分析其插件的时候发现jQuery有一个文件上传漏洞存在时间长达八年之久。开发人员表示,该漏洞是由于Apache 2.3.9发生变更而引起的,该改动默认禁用存储与文件夹相关的.htaccess安全设置文件,并且除非管理员启用该文件,否则将自动忽略,因此导致攻击者可以从外部获取webshell并运行命令。

该漏洞编号为CVE-2018-9206,最新版的jQuery已修复了这个问题。

2、接受信息泄露教训:传Facebook有意收购网络安全公司

据美国科技媒体The Information援引知情人士消息称,Facebook上周日已与几家网络安全公司就潜在收购事宜进行接触,收购目标尚未最终确定,但交易结果或将在今年年底宣布。

在经历了历史上最重大的黑客攻击事件之后,催生了Facebook强化网络安全的最新举措,Facebook希望它的数十亿用户知道平台已经准备投入网络安全领域。

3、小米正式开源 SQL 智能优化与改写工具 SOAR

小米正式开源 SQL 智能优化与改写工具 SOAR,SOAR,即 SQL Optimizer And Rewriter,是一款 SQL 智能优化与改写工具,SOAR 主要由语法解析器、集成环境、优化建议、重写逻辑、工具集五大模块组成,相比业内其他优秀产品有自己的优势。(详情:)

4、Python 3.7.1 和 3.6.7 正式发布,常规维护版本

Python 3.7.1 和 3.6.7 现已正式发布。Python 3.7.1 是 Python 最新功能版本 Python 3.7 的第一个维护版本,包含许多新功能和优化。Python 3.6.7 是 Python 3.6 的第一个维护版本,包含许多新功能和优化。(详情:)

5、Apache Tomcat Native 1.2.18 发布

Apache Tomcat Native 1.2.18 发布了,Tomcat Native 这个项目可以让 Tomcat 使用 Apache 的 apr 包来处理引用文件和网络 IO 操作,以提升性能。可以看到该版本已添加了对 TLS 1.3 的支持,主要更新内容:

Windows binaries built with APR 1.6.5 and OpenSSL 1.0.2p.Windows binaries built with APR 1.6.5 and OpenSSL 1.1.1.TLSv1.3 support when built with OpenSSL 1.1.1......(详情:)

6、HealthCare.gov注册系统被黑客入侵,75000人数据遭泄露

注册系统名为联邦便民交易所(Federally Facilitated Exchanges),由医疗保险和医疗补助服务中心(CMS)联合管理,医疗保险代理人员可通过该系统将用户在HealthCare.gov的资料导入Obamacare计划中。

CMS表示从上周起(10月13日)在系统中发现了一些异常活动,并对其展开了调查,随后确认了黑客行为,约75000人信息被盗。当前该系统已被停用。

目前CMS已通知联邦调查局以及所有受影响的用户,以争取尽快解决问题。

标签: #jquery漏洞利用 #jquery获取上传速度 #jquery不提交