13 válasz erre a témára

[hgrg]

Timthumb sebezhetőség!

Érdemes most rögtön frissítenia timthumb.php képátméretező scriptet a legfrissebb verzióra, ugyanis egy óriási rés tátong rajta, melyen keresztül külső weblapról származó kódokat futtathatnak nálad: magyarán szólva rendkívül egyszerűen feltörhetővé válik az oldalad..
Innen tudod beszerezni a script legújabb verzióját..

Egy exploit a résre: itt
A rés lényege:
A script megengedi, hogy bizonyos oldalakról illessz be képet:

flickr.com
picasa.com
blogger.com
wordpress.com
img.youtube.com
upload.wikimedia.org
photobucket.com

De elszúrta a srác, így pld:
flickr.com.hgrg.info-ról is be tudnék szúrni "képet" ami úgy viselkedik mint egy kép de nem az

Ezzel pedig feltörhető lenne az oldal.

Megoldás:
1. frissíted a timthumb-ot
2. egy srác csinált egy másik scriptet WordThumb néven. A cikke itt olvasható..
3. magadnak generálod a kis képeket és ezzel jelentős terheléscsökkentést okozol a gépnek.. persze neked plusz munka...
4. saját átmérezetőt használsz, cache-el stb...

Szerkesztve hgrg által: 2011-08-04 - 18:13 PM

[syska]

A WP alapba ezt használja vagy egyedi megoldása van?

[hgrg]

nem hiszem h a timthumb-ot használná mivel a wp-fileok között nincs ilyen nevű

[Balou]

Szvsz mióta a WP-be behozták a thumbnail funkciót, szerintem felesleges a ez a timthumb...Beállíthatsz bármennyi méretet, és csak egyszer "terheled" le a rendszert, amikor a WP legenerálja a bélyegképeket.

[hgrg]

sablonokban mégis rengetegszer előfordul.. főleg ha kívülről linkelnek.. mert csak egy egyedi mező kell nekik..

[zoli-wp]

Üdv hgrg!

Szeretném a segítségedet kérni a következőben: az általam használt sablonban http://gridlocker.dizenoco.com/ is ez a megoldás van ha jól látom ( timthumb)!
Szeretném megkérdezni hogy frissíthetem ezt az általad adott kódra? Tudom biztos alap és hülye kérdés de kezdő vagyok - én arra gondolok hogy wp-be meg nyitom a szerkesztővel az említett php-t és egyszerűen kitörlöm a bent lévő összes kódot és bemásolom az általad feltüntetett kódokat :S. Ez nagyon rossz ötlet?
Jól jönne ha leírnád hogy kell frissíteni és hogy kell e utána valamit át állítani.

Előre is nagyon köszönöm, mert nagyon-nagyon sokat segítenél!

[zoli-wp]

Kiegészítés

Esetleg ha valaki tudna egy egyszer megoldás és lenne idegzete hozzá hogy leírja (egy laikusnak:D), hogy is kell megoldani akkor azt is szívesen venném!

[syska]

Használd inkább a legfrisebbet: http://code.google.com/p/timthumb/

[zoli-wp]

Köszönöm a választ !

Azonnal és szívesen meg is tenném (mármint a használatát) csak még nem jöttem rá hogyan is kell :S!
Pl.: ha az ott látható kódot lementem egy .php-be és felmásolom ugyanazzal a névvel a meglévő helyére ez elegendő vagy még be kell állítani valamit, vagy esetleg kell az új (friss kódba) beírni valami adatot a sablonomból? Biztos ez "hogyan kell felkapcsolni a villanyt(?), kérdés számotokra" de ehhez én elég kevés vagyok szóval egy leírás jól jönne a frissítés folyamatáról!

Köszönöm a választ!

[hgrg]

ez egy külső library amit nem feltétlen használ akárki. nem használtam évek óta. mindenesetre a scriptet többször is átgyúrták már így nem tudom milyen verziód van és azt sem, hogy változik a paraméterezése ha így írod át. megoldás: lemented magadnak a régi file-t majd feltöltöd az újat..

[zoli-wp]

Köszönöm a választ!

Szerintem nekem valami nagyon régi verzióm van mivel a sablonnal együtt töltöttem le azt hiszem ez ebből kiderül -----> define("VERSION", "1.08"); /

Most ha jól értem akkor:

1. Felmegyek az általad illetve syska által adott linkre.
2. Az ott található kódot lementem egy php-be.
3. Fellépek a Wp szerkesztőbe vagy Total commander és törlöm a sablonomból a timthumb.php.
4. Feltöltöm pl.: Toltal Commanderrel az új timthumb.phpt - ami az úgy jódot tartalmazza.

Én így értelmeztem, bár lehet rosszul. (Ha van más megoldás arra is vevő vagyok csak jelenjenek meg a képek a az oldalon http://gridlocker.dizenoco.com/ ilyen sablont használok./ a sablon elég régi úgy látom frissítés nincs hozzá legalább is ingyenes, mivel még ezzel sem boldogulok egyenlőre nem gondolkozom a fizetős megoldáson )

Ha ezen kívül kell valami beállítás valahol akkor nagy örömmel veszem az építő hozzászólás! És bocs a Piócázásért, remélem hamarosan én is a segítségetekre ill. a kezdők segítségére lehetek, és kevésbé a profik terhére !

[zoli-wp]

Azt hiszem rosszul értettem , mert a posztoknál a képeket nem teszi ki csak ilyen hiba ikont, mintha próbálná,de nem tudná megjeleníteni! Ha rákattintok az ikonra akkor a képet behozza rendesen, ahogy kell csak a posztoknál nem látható a kép.

[zoli-wp]

Üdv ismét !

Már reménykedtem hogy megtettem az előrelépést a következővel: telepítettem a következőt Timthumb Scanner
elvégeztem vele a keresést majd az ezt követő frissítést !
Belépetem a sablonom timthumb.php- ba és valóban megnéztem a kódot, megváltozott a friss kódra! Hurrá mondhatnánk és nem , mert amikor ráfrissítettem a honlapomra nem jelentek meg a posztok képei a fő oldalon!
Nah most hogy frissítettem a kódot, Vajon miért nem teszi ki a képeket???

[syska]

Lehet más, hogy más kóddal kell? Mármint a timthumb.php?=#&@#@#& és itt vannak változások? Nézz egy demo-t és akkor kiderül.