Ocak 30, 2012

Wp Timthumb Acığı

Bütün blog dünyasını ilgilendiren bu haber çıkalı birkaç gün oldu ancak Türk blogcular ve haber siteleri yeterince bu konuya yer vermediler diye düşünüyorum zira Google’da “timthumb.php açığı” diye arattığımda sadece 1 sonuç görebildim.

 

Timthumb.php dosyası WordPress temalarında ve eklentilerinde çok yaygın olarak kullanılan ve resimleri boyutlandırmaya yarayan çok kullanışlı bir dosya. Zaten bu nedenle bu güvenlik açığı büyük tehdit oluşturuyor. Timthumb.php dosyasındaki bu açığı ortaya çıkaran kişi olan Mark Maunder blogunda bununla ilgili bir yazıya yer vermiş. Mark Maunder’ın yazısından da okuyabileceğiniz gibi bu açığı keşfetmesine blogunun hacklenmesi vesile olmuş. Bütün dosyalarının ve klasörlerinin yazma izinlerini doğru ayarlamasına rağmen hacker’ın nasıl yazma iznine eriştiğine bir anlam verememiş ve araştırmaya başlamış.

Araştırmaları neticesinde temasının içinde bulunan timthumb.php dosyası içindeki şu kodlar dikkatini çekmiş:
$allowedSites = array (
‘flickr.com’,
‘picasa.com’,
‘blogger.com’,
‘wordpress.com’,
‘img.youtube.com’,
‘upload.wikimedia.org’,
‘photobucket.com’,
);

Okumaya devam et