铁拇指还坏着吗?应该采取哪些安全措施?

时间:2012-06-04 作者:Tom Auger

一个客户端请求我们使用一个主题,该主题具有Timthumb依赖关系。我知道过去存在一些严重的漏洞,但该插件的当前状态如何?

是否有人可以向我指出解决此漏洞的权威资源?repo中的插件似乎仍在维护/可用?

谢谢

2 个回复
最合适的回答,由SO网友:user1337 整理而成

请看这里:http://ma.tt/2011/08/the-timthumb-saga/ 我想你知道Matt是谁。另外,Matt在那个链接中提到了这个家伙,他在自己的网站上发布了一些关于这个问题的最新消息http://markmaunder.com/2011/08/01/zero-day-vulnerability-in-many-wordpress-themes/

缺点是,现在TimThumb 2.0已经修复。这里有http://code.google.com/p/timthumb/

SO网友:Chip Bennett

我仍然认为蒂姆·拇指(timthumb)。php代表由于其运行方式而产生的固有风险。据我所知,the following statement remains true:

注:timthumb。php本质上是不安全的,因为它依赖于能够将文件写入访问您网站的人可以访问的目录。这从来都不是个好主意。

如果不直接查看来源,我什么都看不到this list of TimThumb 2.0 enhancements 这将更改脚本的基本功能。这些增强通过隐蔽性提供了一些额外的安全性,但实际上,隐蔽性并不是security.

在我看到相反的客观证据之前,我坚持我的忠告use the core image-resizing and post thumbnail functionality only and always.

结束
标签: plugins   security   timthumb   小码农  

相关推荐

如何理解ACTIVE_PLUGINS OPTION_VALUE从数据库中启用和禁用某些插件?

谁能解释一下如何解释和理解WordPress中的active\\u plugins option\\u value字符串吗。然后使用此字符串/数组禁用和激活特定插件?以下是一个示例:a:8:{i:0;s:21:\"adrotate/adrotate.php\";i:1;s:19:\"akismet/akismet.php\";i:2;s:33:\"better-related/better-related.php\";i:3;s:17:\"clicky/clicky.php\";i:4;s:49:\"cu