Входящая во многие wordpress темы утилита для изменения размера изображений timthumb.php, уязвима к загрузке произвольного PHP-кода.

В конфиге скрипта лежат несколько доменов (flickr.com, picasa.com, blogger.com, wordpress.com, img.youtube.com, upload.wikimedia.org, photobucket.com) с которого ему разрешено загружать изображения.

Из-за недостаточной проверки передаваемых параметров существует возможность загрузить веб-шелл на сервер используя список доверенных доменов для создания поддоменов с такими же названиями. Т.е. timthumb.php считает ссылку blogger.com.hackersite.com/webshell.php легитимной и позволяет загрузить скрипт на сервер.

Уязвимость обнаружил Марк Маундер, после того, как его блог был взломан.

Пропатченный timthumb.php

(via habrahabr)

UPDATE: уже появилась и реализация этой «дыры» с использованием superpuperdomain.com
Как лечить последствия – PHPRemoteView Hack: What it is, and how to remove it.

Похожие статьи:

1. Уязвимость WordPress! Пароль администратора можно сбросить!
2. Бесплатные темы для WordPress
3. WordPress: добавляем в комментарии ссылку на Twitter

Для осознания что это за зверь советую почитать замечательную статью от Вадима Макишвили – «Вёрстка в IntelliJIDEA». Часть №1 и Часть №2.

Но самое главное в моей заметке не это. Главное – новость о том, что…

JetBrains открыла программу EAP (Early Access Program) для JetBrains Web IDE. JetBrains Web IDE это IDE для веб программирования. Она построена на основе платформы JetBrains IDE Framework.
Web IDE доступна в двух вариантах: в стандартный вариант включена поддержка HTML, CSS, Javascript. В PHP Developer edition добавляется поддержка PHP и SQL.

Т.е. имеем на выходе:

• всё лишнее (связанное с Java) убрано;
• работа с проектами стала удобнее (нет модулей и пр.);
• дополнительно конфигурировать ничего не нужно;
• запускается и бегает шустрее;
• добавлена синхронизашия с FTP и SFTP!!!

Плюс из того что уже было:

• удобнейшая навигация по файлам проекта и коду;
• анализ и подсветка ошибок в коде на лету;
• встроенная поддержка Subversion, Perforce, Git, и CVS;
• и конечно же кроссплатформенность (Windows, Mac OS X и Linux)

Качаем и кодим с удовольствием!
Ребятам из JetBrains огромное СПАСИБО!

UPD: Чтобы добавить LiveTempalte для CSS нужно скачать архив и распаковать файл в папку «%user%\.WebIde10\config\templates\»!

Похожие статьи:

1. Как сделать Web IDE портабельной?
2. Цветовая схема Monokai для JetBrains WebIDE
3. Aptana – IDE для AJAX, HTML, CSS

Довелось работать с симфонией… мутная вещь, однако!
Есть такая нехорошая в ней фишка, как использование папки «web» для приложения :(. На «денвере» запарился с виртуальными хостами, но всё поднял кое как…

Другая проблема появилась, когда я захотел выложить проект – на хостинге ведь «public_html» папка у апача! Хорошо, если это ваш личный сервер и можно подправить конфиг апача или через админпанель что-то поколдовать (кстати так и не нашёл как это сделать в direcadmin). А что если нет доступа?

Решение было найдено на блоге Digital Base и заключается в добавлении кода в конец конфигурационного файла вашего приложения (config.php):

1
2
3
4
5
6

      $sf_root_dir = sfConfig::get('sf_root_dir');
      sfConfig::add(array(
        'sf_web_dir_name' => $sf_web_dir_name = 'public_html',
        'sf_web_dir'      => $sf_root_dir.DIRECTORY_SEPARATOR.$sf_web_dir_name,
        'sf_upload_dir'   => $sf_root_dir.DIRECTORY_SEPARATOR.$sf_web_dir_name.DIRECTORY_SEPARATOR.sfConfig::get('sf_upload_dir_name'),
      ));

Естественно остальные папки фреймворка должны лежать вне папки «public_html» !

Похожие статьи:

1. Snipplr – сервис для хранения вашего кода (сниппетов)