Saját tartalom keresése
Férfi
Becenév előzmények
Témáim
BuÉk
2012-01-01 - 08:20
Boldog új évet kívánok mindenkinek
timthumb.php sebezhetőség FONTOS!
2011-08-04 - 18:12
Timthumb sebezhetőség!
Érdemes most rögtön frissítenia timthumb.php képátméretező scriptet a legfrissebb verzióra, ugyanis egy óriási rés tátong rajta, melyen keresztül külső weblapról származó kódokat futtathatnak nálad: magyarán szólva rendkívül egyszerűen feltörhetővé válik az oldalad..
Innen tudod beszerezni a script legújabb verzióját..
Egy exploit a résre: itt
A rés lényege:
A script megengedi, hogy bizonyos oldalakról illessz be képet:
flickr.com.hgrg.info-ról is be tudnék szúrni "képet" ami úgy viselkedik mint egy kép de nem az
Ezzel pedig feltörhető lenne az oldal.
Megoldás:
1. frissíted a timthumb-ot
2. egy srác csinált egy másik scriptet WordThumb néven. A cikke itt olvasható..
3. magadnak generálod a kis képeket és ezzel jelentős terheléscsökkentést okozol a gépnek.. persze neked plusz munka...
4. saját átmérezetőt használsz, cache-el stb...
Érdemes most rögtön frissítenia timthumb.php képátméretező scriptet a legfrissebb verzióra, ugyanis egy óriási rés tátong rajta, melyen keresztül külső weblapról származó kódokat futtathatnak nálad: magyarán szólva rendkívül egyszerűen feltörhetővé válik az oldalad..
Innen tudod beszerezni a script legújabb verzióját..
Egy exploit a résre: itt
A rés lényege:
A script megengedi, hogy bizonyos oldalakról illessz be képet:
flickr.com picasa.com blogger.com wordpress.com img.youtube.com upload.wikimedia.org photobucket.comDe elszúrta a srác, így pld:
flickr.com.hgrg.info-ról is be tudnék szúrni "képet" ami úgy viselkedik mint egy kép de nem az
Ezzel pedig feltörhető lenne az oldal.
Megoldás:
1. frissíted a timthumb-ot
2. egy srác csinált egy másik scriptet WordThumb néven. A cikke itt olvasható..
3. magadnak generálod a kis képeket és ezzel jelentős terheléscsökkentést okozol a gépnek.. persze neked plusz munka...
4. saját átmérezetőt használsz, cache-el stb...
