Forwarded from 幻想单行 全新!
【10月】INGRESS the Animation 02【傲娇零xWHRES】 UP主: Kasei http://www.bilibili.com/video/av34190574
Forwarded from Sukka's Notebook
Windows 下 Chrome 遇到 HSTS 的网站 SSL 异常时、无法访问时,可以通过键盘空打
#Chrome #HSTS #SSL #火星救援 #老佛爷洋人来给我们修铁路了
badidea 或者 thisisunsafe 并回车可以快速、强制对当前站点禁用 SSL 检查。#Chrome #HSTS #SSL #火星救援 #老佛爷洋人来给我们修铁路了
Forwarded from Solidot
流行 jQuery 插件 0day 漏洞被利用至少三年
黑客在至少三年时间里利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload,其作者为德国开发者 Sebastian Tschan aka Blueimp,它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,被整合到数以百计的项目中。Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞,该漏洞允许攻击者向服务器上传恶意文件,如后门和 Web shells。Cashdollar 称这个漏洞已被广泛利用,至少从 2016 年就开始了。开发者已经释出了 9.22.1 修复了漏洞。Blueimp 解释了这个漏洞存在的原因:Apache v.2.3.9 的默认设置是不读取 .htaccess 文件,而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess,所以他从来没有去检查服务器的默认设置,而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。Media
https://www.solidot.org/story?sid=58297
黑客在至少三年时间里利用一个流行 jQuery 插件的 0day 漏洞植入 Web shells 控制存在漏洞的 Web 服务器。这个插件是 jQuery File Upload,其作者为德国开发者 Sebastian Tschan aka Blueimp,它是 GitHub 平台上仅次于 jQuery 框架本身第二受欢迎的 jQuery 项目,被整合到数以百计的项目中。Akama 的安全研究员 Larry Cashdollar 今年早些时候在插件处理文件上传的源代码里发现了漏洞,该漏洞允许攻击者向服务器上传恶意文件,如后门和 Web shells。Cashdollar 称这个漏洞已被广泛利用,至少从 2016 年就开始了。开发者已经释出了 9.22.1 修复了漏洞。Blueimp 解释了这个漏洞存在的原因:Apache v.2.3.9 的默认设置是不读取 .htaccess 文件,而他犯下的错误在于依赖于 .htaccess 去执行安全控制。他测试的 Apache 服务器启用了 .htaccess,所以他从来没有去检查服务器的默认设置,而 Apache 服务器从 v.2.3.9 起默认不启用 .htaccess。Media
https://www.solidot.org/story?sid=58297