Tag Archives: theme

0207 | WordPress ของคุณอาจไม่ปลอดภัย

วันนี้มีน้องคนนึงใน twitter ส่งบทความจากต่างประเทศมาให้อ่าน ถึงความไม่ปลอดภัยของ theme wordpress บางตัว ซึ่งธีมเหล่านี้ จะมีไฟล์ชื่อ timthumb.php ซึ่งมักจะอยู่ใน folder ชื่อ scripts หรือไม่ก็ includes และการแสดงรูป thumb ในหน้าแรกของธีมเหล่านี้ มักจะแสดงผ่านไฟล์ timthumb.php จะมีมีการแสดงไฟล์รูปตรงๆ ส่วนตัวแล้ว ผมไม่ชอบเลย การแสดงรูปแบบนี้ เพราะมันเปลืองทรัพยากรณ์ ของ server โดยไม่จำเป็น (เดี่ยวท้ายๆจะบอกวิธีแก้ไขให้ครับ) แม้กระทั่งไฟล์รูปอยู่ในเว็บของเราเอง ยังต้องแสดงผ่านไฟล์ๆนี้

โดยการทำงานคร่าวๆก็คือ จะเป็นตัวแสดง thumbnail ในหน้าเว็บของเรา แต่ส่วนใหญ่ จะเจอในหน้าแรกครับ หากรูปที่ดึงนั้น อยู่ภายในเว็บของเรา ก็จะไปเรียกรูปนั้นมาแสดง แต่หากอยู่ภายนอกเว็บ ก็จะดึงรูปมาเก็บไว้ในเว็บของเรา ในโฟลเดอร์ cache โดยมีการจำกัดเอาไว้ว่า จะอนุญาติให้ดึงจากเว็บไหนได้บ้าง หลักๆก็มี flickr.com , picasa.com ,img.youtube.com และเราสามารถเพิ่มได้เอง แต่…. นี่แหละ คือปัญหา เพราะมันมีวิธี ที่ทำให้ดึงรูปจากเว็บเหล่านี้ได้ เพียงแค่ สร้าง sub domain ขึ้นมา ให้มีชื่อ url ที่อนุญาติเหล่านั้น เช่น flickr.com.igolf.in.th หรือ picasa.com.igolf.in.th ซึ่งเมื่อสักครู่ ผมได้ทดสอบดูแล้ว ก็สามารถทำได้จริงๆ ซึ่งเป็นช่องโหว่ให้บรรดาผู้ไม่หวังดี เข้ามาทำ มิดีมิร้าย กับเว็บของเราได้
Continue reading

0108 | เพิ่งรู้ว่า Blog ตูเพี้ยนๆ

วันนี้มานั่งเล่นเน็ตที่ร้าน ลองเข้าบล็อกตัวเองซะหน่อย แต่พอเปิดดู โอ้ว หน้าตาอุบาดว่ะ เมนูด้านข้างลงไปอยู่ด้านล่างหมดเลย เปิดด้วย IE8?ความละเอียดหน้าจอ 1024 x 768 ปกติ ก็ไม่ได้เล่นขนาดหน้าจอแบบนี้เท่าไหร่ เพราะใช้โน๊ตบุกของตัวเองเปิดตลอด? มาดูความอุบาดกัน

Continue reading