Tag Archives: ความปลอดภัย

0207 | WordPress ของคุณอาจไม่ปลอดภัย

วันนี้มีน้องคนนึงใน twitter ส่งบทความจากต่างประเทศมาให้อ่าน ถึงความไม่ปลอดภัยของ theme wordpress บางตัว ซึ่งธีมเหล่านี้ จะมีไฟล์ชื่อ timthumb.php ซึ่งมักจะอยู่ใน folder ชื่อ scripts หรือไม่ก็ includes และการแสดงรูป thumb ในหน้าแรกของธีมเหล่านี้ มักจะแสดงผ่านไฟล์ timthumb.php จะมีมีการแสดงไฟล์รูปตรงๆ ส่วนตัวแล้ว ผมไม่ชอบเลย การแสดงรูปแบบนี้ เพราะมันเปลืองทรัพยากรณ์ ของ server โดยไม่จำเป็น (เดี่ยวท้ายๆจะบอกวิธีแก้ไขให้ครับ) แม้กระทั่งไฟล์รูปอยู่ในเว็บของเราเอง ยังต้องแสดงผ่านไฟล์ๆนี้

โดยการทำงานคร่าวๆก็คือ จะเป็นตัวแสดง thumbnail ในหน้าเว็บของเรา แต่ส่วนใหญ่ จะเจอในหน้าแรกครับ หากรูปที่ดึงนั้น อยู่ภายในเว็บของเรา ก็จะไปเรียกรูปนั้นมาแสดง แต่หากอยู่ภายนอกเว็บ ก็จะดึงรูปมาเก็บไว้ในเว็บของเรา ในโฟลเดอร์ cache โดยมีการจำกัดเอาไว้ว่า จะอนุญาติให้ดึงจากเว็บไหนได้บ้าง หลักๆก็มี flickr.com , picasa.com ,img.youtube.com และเราสามารถเพิ่มได้เอง แต่…. นี่แหละ คือปัญหา เพราะมันมีวิธี ที่ทำให้ดึงรูปจากเว็บเหล่านี้ได้ เพียงแค่ สร้าง sub domain ขึ้นมา ให้มีชื่อ url ที่อนุญาติเหล่านั้น เช่น flickr.com.igolf.in.th หรือ picasa.com.igolf.in.th ซึ่งเมื่อสักครู่ ผมได้ทดสอบดูแล้ว ก็สามารถทำได้จริงๆ ซึ่งเป็นช่องโหว่ให้บรรดาผู้ไม่หวังดี เข้ามาทำ มิดีมิร้าย กับเว็บของเราได้
Continue reading

0071 | พอกันที FileZilla ที่อุส่าไว้ใจมานาน

หลังจากที่ใช้โปรแกรม ftp ที่ชื่อ FileZilla มานาน ในที่สุดก็พบจุดที่ทำให้มันไม่น่าใช้อีกต่อไป? เป็นเพราะอะไรลองเปิดเข้าไปดูที่

C:\Documents and Settings\xxx\Application Data\FileZilla

แล้วมองหาไฟล์ชื่อ sitemanager.xml? และ recentservers.xml

<?xml version=”1.0″ encoding=”UTF-8″ standalone=”yes” ?>
<FileZilla3>
<Servers>
<Server>
<Host>11.22.33.44</Host>
<Port>21</Port>
<Protocol>0</Protocol>
<Type>0</Type>
<User>user</User>
<Pass>555</Pass>
<Logontype>1</Logontype>
<TimezoneOffset>0</TimezoneOffset>
<PasvMode>MODE_DEFAULT</PasvMode>
<MaximumMultipleConnections>0</MaximumMultipleConnections>
<EncodingType>Auto</EncodingType>
<BypassProxy>0</BypassProxy>
<Name>ที่ตั้งใหม่</Name>
<Comments></Comments>
<LocalDir></LocalDir>
<RemoteDir></RemoteDir>
<SyncBrowsing>0</SyncBrowsing>ที่ตั้งใหม่
</Server>
</Servers>
</FileZilla3>

ขนาดผมไม่ได้ save ข้อมูลเอาไว้ พี่แกยังเอาข้อมูลที่ผมเข้าล่าสุดไปเก็บไว้ที่ recentservers.xml อีก ช่างใจดีจริงๆ เก็บไว้โดยไม่มีการเข้ารหัสแต่อย่างใด ยิ่งช่วงนี้ไวรัสที่คอยดัก user pass ของ ftp ยิ่งระบาดอยู่

พอๆๆๆ พอกันที? หาตัวใหม่มาใช้ดีกว่า