Optimizator Field – блог веб разработчика
CSS вёрстка. Внутренняя оптимизация сайтов. Настройка Wordpress.
CSS вёрстка. Внутренняя оптимизация сайтов. Настройка Wordpress.
9.08.2011

Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.
В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.
Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.
Уязвимость обнаружил , после того, как его блог был взломан.
Пропатченный
(via )
UPDATE: уже появилась и реализация этой «дыры» с использованием superpuperdomain.com
Как лечить последствия –
11.07.2011

Кому нужен инвайт в социльную сеть от Google? Пишите в комментарии свой e-mail!
29.04.2010

Несколько наиболее интересных ссылок, о которых я писал в в апреле. Это полезные статьи, сервисы и просто разные разности ))). Берём на вооружение, сохраняем в закладки, делимся с другими – не пропадать же добру!
Подробнее »
21.04.2010
В личном тайм-менеджменте есть интересный приём для самомотивации — . Метод заключается в том, что в календаре вы каждый день отмечаете, продуктивно ли его провели. Таким образом наглядно выявляется ваша продуктивность и появляется желание быть более усердным.
Для использования этой идеи подойдёт и блокнот, но лучше воспользоваться специальным сайтом – . В сервисе имеется обширная справочная система, богатый функционал, inline-редактирование без перезагрузки страницы и удобный лёгкий дизайн. Лично для меня он близок к идеальному (не смотря на обилие конкурентов), а мелкие недочёты постоянно исправляются. Рассмотрим же его поближе…
Подробнее »
Последние комментарии