[漏洞修复] 3-23 修复博客SSRF漏洞一枚

Mr.Wu 376 0

在此感谢@deepweb 对本站的友情检测,起因似乎是因为他也挺喜欢我这个主题,-。-。

在这之前,我一直觉得我的站很安全,除非wordpress出漏洞,否则没毛病,然而今天却被刷新了认知。。。

@deepweb 提供的部分漏洞截图:

好吧,好歹我一直以安全爱好者自居,却对SSRF一无所知。

TimThumb version : 2.8.13这个插件以前有个远程命令执行漏洞,被我修复了。

今天又蹦出来一个TimThumb version : 2.8.13 SSRF漏洞,并且百度查了半天没看到有人公布。。。

因为对SSRF一无所知,临时抱佛脚,去翻阅了很多资料,然而看的我还是一头雾水,对于利用方面还是没弄懂,有机会请教下。

TimThumb version : 2.8.13 SSRF漏洞我并不知道怎么修复,百度也没查到,只是查到了一些大概的SSRF防御措施,然而并不能救火;
在翻阅了大量资料无果后,我最终选择放弃TimThumb;
wordpress 绝大部分漏洞出在第三方上面这句话一点都没毛病,TimThumb老是出漏洞,鬼知道还有没有未公布的漏洞,某天我博客又被秒了,而且我博客也只有商城一处使用TimThumb;
为了尽量安全,我选择弃用TimThumb,换成纯代码。

修复方案

1.在主题的 functions.php 文件添加如下代码,并删除 function post_thumbnail_src()这片代码:

//缩略图生成
function thumb_img($soContent){
$soImages = '~]*\ />~';
preg_match_all( $soImages, $soContent, $thePics );
$allPics = count($thePics[0]);
if( $allPics > 0 ){
echo "";
echo $thePics[0][0];
echo '';
}
else {
echo "";
echo "";
}
}

2.修改商城和手机主题的缩略图调用:

	                
post_content);?>

目前就这样,图片显示并不多,如果有天发现图片加载实在太卡的时候,我在加上图片缓存即可。

广告

打赏
发表评论 取消回复
表情 图片 链接 代码

分享
微信
微博
QQ