Timthumb PHP skript může výt zneužit k útoku (diskuse)

Přihlášení | Registrace

napište » Zprávičky

inzerujte » Pracovní nabídky

Java 25 / JDK 25

dnes 15:11 | Nová verze

Byla vydána Java 25 / JDK 25. Nových vlastností (JEP - JDK Enhancement Proposal) je 18. Jedná se o LTS verzi.

Ladislav Hagara | Komentářů: 0

Věra Pohlová před 26 lety: „Já bych všechny ty internety a počítače zakázala“

dnes 14:44 | Humor

Věra Pohlová před 26 lety: „Tyhle aféry každého jenom otravují. Já bych všechny ty internety a počítače zakázala“. Jde o odpověď na anketní otázku deníku Metro vydaného 17. září 1999 na téma zneužití údajů o sporožirových účtech klientů České spořitelny.

Ladislav Hagara | Komentářů: 0

Výroční zpráva Blender Foundation za rok 2024

dnes 11:33 | Zajímavý článek

Byla publikována Výroční zpráva Blender Foundation za rok 2024 (pdf).

Ladislav Hagara | Komentářů: 0

Firefox 143.0

včera 21:44 | Nová verze

Byl vydán Mozilla Firefox 143.0. Přehled novinek v poznámkách k vydání a poznámkách k vydání pro vývojáře. Nově se Firefox při ukončování anonymního režimu zeptá, zda chcete smazat stažené soubory. Dialog pro povolení přístupu ke kameře zobrazuje náhled. Obzvláště užitečné při přepínání mezi více kamerami. Řešeny jsou rovněž bezpečnostní chyby. Nový Firefox 143 bude brzy k dispozici také na Flathubu a Snapcraftu.

Ladislav Hagara | Komentářů: 0

Fedora Linux 43 Beta

včera 17:22 | Nová verze

Byla vydána betaverze Fedora Linuxu 43 (ChangeSet), tj. poslední zastávka před vydáním finální verze, která je naplánována na úterý 21. října.

Ladislav Hagara | Komentářů: 0

Ghostty 1.2

včera 12:22 | Nová verze

Multiplatformní emulátor terminálu Ghostty byl vydán ve verzi 1.2 (𝕏, Mastodon). Přehled novinek, vylepšení a nových efektů v poznámkách k vydání.

Ladislav Hagara | Komentářů: 0

Godot 4.5

včera 00:11 | Nová verze

Byla vydána nová verze 4.5 (𝕏, Bluesky, Mastodon) multiplatformního open source herního enginu Godot (Wikipedie, GitHub). Přehled novinek i s náhledy v příspěvku na blogu.

Ladislav Hagara | Komentářů: 0

asciinema CLI 3.0

15.9. 21:33 | Nová verze

Byla vydána verze 3.0 (Mastodon) nástroje pro záznam a sdílení terminálových sezení asciinema (GitHub). S novou verzí formátu záznamu asciicast v3, podporou live streamingu a především kompletním přepisem z Pythonu do Rustu.

Ladislav Hagara | Komentářů: 0

Canonical oznámil, že bude podporovat a distribuovat toolkit NVIDIA CUDA v Ubuntu

15.9. 21:00 | Komunita

Canonical oznámil, že bude podporovat a distribuovat toolkit NVIDIA CUDA (Wikipedie) v Ubuntu.

Ladislav Hagara | Komentářů: 0

Hodnota společnosti Alphabet překonala hranici tří bilionů dolarů

15.9. 20:44 | IT novinky

Tržní hodnota americké společnosti Alphabet, která je majitelem internetového vyhledávače Google, dnes poprvé překonala hranici tří bilionů dolarů (62,1 bilionu Kč). Alphabet se připojil k malé skupině společností, které tuto hranici pokořily. Jsou mezi nimi zatím americké firmy Nvidia, Microsoft a Apple.

Ladislav Hagara | Komentářů: 2

Centrum | Napsat | Starší

navrhněte » Anketa

Jaké řešení používáte k vývoji / práci?

Github (75%)

Gitlab (100%)

Atlassian (0%)

Bitbucket (0%)

Gitea (0%)

Mercurial (25%)

jen git (50%)

jen svn (0%)

Jiné (uvedu v diskusi) (25%)

Celkem 4 hlasů

Komentářů: 1, poslední dnes 13:49

Rozcestník

AbcLinuxu

HDmag.cz

AbcLinuxu:/ Zprávičky / Timthumb PHP skript může být zneužit k útoku / Timthumb PHP skript může výt zneužit k útoku (diskuse)

Štítky: není přiřazen žádný štítek

Nástroje: Začni sledovat (1) ?

Vložit další komentář

3.8.2011 20:03 Migi | skóre: 59 | blog: Mig_Alley
Rozbalit Rozbalit vše Re: Timthumb PHP skript může výt zneužit k útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

veselá chybička v nadpisu, autor by se měl stydět :-D

3.8.2011 20:30 David Watzke | skóre: 74 | blog: Blog... | Praha
Rozbalit Rozbalit vše Re: Timthumb PHP skript může výt zneužit k útoku

Opravil jsem to. Btw, měl jsem za to, že jsi taky správce zpráviček.

“Being honest may not get you a lot of friends but it’ll always get you the right ones” ―John Lennon

3.8.2011 21:09 D''
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

Odpovědět | Sbalit | Link | Blokovat | Admin

sed s/".com"/".com/"/g zoznam_povolenych_url ?

4.8.2011 02:02 zulu
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

4.8.2011 09:48 M___
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

http://evilhackersite.com/blogger.com/...

4.8.2011 11:21 kdosi
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

$allowedSites = array (
	'flickr.com',
	'picasa.com',
	'blogger.com',
	'wordpress.com',
	'img.youtube.com',
	'upload.wikimedia.org',
	'photobucket.com',
);

$url = ...
$host = parse_url($url,PHP_URL_HOST);

$ok = false;
foreach($allowedSites as $site){
  if(ereg($site.'$', $host)){
    $ok = true;
    break;
  }
}

if($ok){
  ...
}

4.8.2011 11:28 kdosi
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

A oprava opravy, radek 16 by mel byt:

if(ereg('^(.*\.)?'.$site.'$', $host)){

4.8.2011 11:56 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

Takže pokud dáme do whitelistu doménu upload.wikimedia.org, tak si stačí podvrhnout doménu upload-wikimedia.org a máme hotovo?

Hello world ! Segmentation fault (core dumped)

4.8.2011 21:38 kdosi
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

Presne tak :)

tedy pred ifem jeste

$site = strtr($site,array('.'=>'\.'));

ted uz by to na domenu a subdomeny pasovat mohlo ?

4.8.2011 11:22 Josef Kufner | skóre: 70
Rozbalit Rozbalit vše Re: Timthumb PHP skript může být zneužit k útoku

if ($allowed == parse_url($url, PHP_URL_HOST)) { ... }

Hello world ! Segmentation fault (core dumped)

Založit nové vlákno • Nahoru

Tiskni Sdílej:

Píšeme jinde

ISSN 1214-1267 www.czech-server.cz

Redakce | Inzerce | Podmínky použití | Osobní údaje