Timthumb PHP skript může výt zneužit k útoku (diskuse)

Přihlášení | Registrace

napište » Zprávičky

Wayback 0.3

dnes 03:33 | Nová verze

Wayback byl vydán ve verzi 0.3. Wayback je "tak akorát Waylandu, aby fungoval Xwayland". Jedná se o kompatibilní vrstvu umožňující běh plnohodnotných X11 desktopových prostředí s využitím komponent z Waylandu. Cílem je nakonec nahradit klasický server X.Org, a tím snížit zátěž údržby aplikací X11.

Ladislav Hagara | Komentářů: 0

Ruby 4.0.0

včera 14:44 | Nová verze

Byla vydána verze 4.0.0 programovacího jazyka Ruby (Wikipedie). S Ruby Box a ZJIT. Ruby lze vyzkoušet na webové stránce TryRuby. U příležitosti 30. narozenin, první veřejná verze Ruby 0.95 byla oznámena 21. prosince 1995, proběhl redesign webových stránek.

Ladislav Hagara | Komentářů: 0

Krásné Vánoce

24.12. 02:11 | Komunita

Všem čtenářkám a čtenářům AbcLinuxu krásné Vánoce.

Ladislav Hagara | Komentářů: 22

Parrot OS 7.0

24.12. 02:00 | Nová verze

Byla vydána nová verze 7.0 linuxové distribuce Parrot OS (Wikipedie). S kódovým názvem Echo. Jedná se o linuxovou distribuci založenou na Debianu a zaměřenou na penetrační testování, digitální forenzní analýzu, reverzní inženýrství, hacking, anonymitu nebo kryptografii. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

postmarketOS 25.12

23.12. 18:33 | Nová verze

Vývojáři postmarketOS vydali verzi 25.12 tohoto před osmi lety představeného operačního systému pro chytré telefony vycházejícího z optimalizovaného a nakonfigurovaného Alpine Linuxu s vlastními balíčky. Přehled novinek v příspěvku na blogu. Na výběr jsou 4 uživatelská rozhraní: GNOME Shell on Mobile, KDE Plasma Mobile, Phosh a Sxmo.

Ladislav Hagara | Komentářů: 0

mpv 0.41.0

23.12. 13:55 | Nová verze

Byla vydána nová verze 0.41.0 multimediálního přehrávače mpv (Wikipedie) vycházejícího z přehrávačů MPlayer a mplayer2. Přehled novinek, změn a oprav na GitHubu. Požadován je FFmpeg 6.1 nebo novější a také libplacebo 6.338.2 nebo novější.

Ladislav Hagara | Komentářů: 0

Lua 5.5

23.12. 12:44 | Nová verze

Byla vydána nová verze 5.5 (novinky) skriptovacího jazyka Lua (Wikipedie). Po pěti a půl letech od vydání verze 5.4.

Ladislav Hagara | Komentářů: 0

darktable 5.4.0

22.12. 23:44 | Nová verze

Byla vydána nová verze 5.4.0 programu na úpravu digitálních fotografií darktable (Wikipedie). Z novinek lze vypíchnout vylepšenou podporu Waylandu. Nejnovější darktable by měl na Waylandu fungovat stejně dobře jako na X11.

Ladislav Hagara | Komentářů: 0

Linux Mint 22.3 Zena – Beta

21.12. 05:00 | Nová verze

Byla vydána beta verze Linux Mintu 22.3 s kódovým jménem Zena. Podrobnosti v přehledu novinek a poznámkách k vydání. Vypíchnout lze, že nástroj Systémová hlášení (System Reports) získal mnoho nových funkcí a byl přejmenován na Informace o systému (System Information). Linux Mint 22.3 bude podporován do roku 2029.

Ladislav Hagara | Komentářů: 2

GNU Project Debugger aneb GDB 17.1

21.12. 01:55 | Nová verze

GNU Project Debugger aneb GDB byl vydán ve verzi 17.1. Podrobný přehled novinek v souboru NEWS.

Ladislav Hagara | Komentářů: 0

Centrum | Napsat | Starší

navrhněte » Anketa

Kdo vám letos nadělí dárek?

Ježíšek (35%)

Santa Claus (2%)

Děda Mráz (11%)

La Befana (2%)

Odin (1%)

Laskakit (2%)

Někdo z rodiny (16%)

Já sám (18%)

Nikdo (13%)

Celkem 94 hlasů

Komentářů: 18, poslední 24.12. 15:29

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Timthumb PHP skript může být zneužit k útoku / Timthumb PHP skript může výt zneužit k útoku (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

3.8.2011 20:03 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: Timthumb PHP skript může výt zneužit k útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

veselá chybička v nadpisu, autor by se měl stydět :-D

3.8.2011 20:30 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Timthumb PHP skript může výt zneužit k útoku

Opravil jsem to. Btw, měl jsem za to, že jsi taky správce zpráviček.

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

3.8.2011 21:09 D''
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

sed s/".com"/".com/"/g zoznam_povolenych_url ?

4.8.2011 02:02 zulu
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

4.8.2011 09:48 M___
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

http://evilhackersite.com/blogger.com/...

4.8.2011 11:21 kdosi
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
	'photobucket.com',
);

$url = ...
$host = parse_url($url,PHP_URL_HOST);

$ok = false;
foreach($allowedSites as $site){
  if(ereg($site.'$', $host)){
    $ok = true;
    break;
  }
}

if($ok){
  ...
}

4.8.2011 11:28 kdosi
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

A oprava opravy, radek 16 by mel byt:

if(ereg('^(.*\.)?'.$site.'$', $host)){

4.8.2011 11:56 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

Takže pokud dáme do whitelistu doménu upload.wikimedia.org, tak si stačí podvrhnout doménu upload-wikimedia.org a máme hotovo?

Hello world ! Segmentation fault (core dumped)

4.8.2011 21:38 kdosi
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

Presne tak :)

tedy pred ifem jeste

$site = strtr($site,array('.'=>'\.'));

ted uz by to na domenu a subdomeny pasovat mohlo ?

4.8.2011 11:22 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

if ($allowed == parse_url($url, PHP_URL_HOST)) { ... }

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje