[ASK]Pengamanan Tema memakai Thimthumb

.saya mau tanya ni masalah pengamanan web memakai tema timthumb.

.selain pengamanan dengan cara update script timthumb.php nya dengan cara apa lagi ya?Mohon pencerahannya...karena saya tema yang saya beli dari om Virta ternyata tema itu menggunakan timthumb.php..*saya dengar tema timthumb itu kurang aman di securenya..jadi mohon pencerannya gan..

 

sama nih ane jg beli themes virta, baru tahu klo gk aman make "timthumb". btw efek gk amannya th jd gimana ya gan?

 

setau gw, versi timthumb yg bermasalah itu yg ngijinin kita untuk nampilin gambar dari domain (website) lain, list allowed domain nya bisa diatur didalem scriptnya. secara default mereka ngijinin gambar dari flickr.com, picasa.com, blogger.com, wordpress.com, dsb

yg jadi masalah, script itu ngga ngefilter domain dengan baik...
pake contoh aja ya biar enak ngebayanginnya

misal gw punya domain: adsenseid.com
trus gw tambahin sub-domain: flickr.com.adsenseid.com <-- ternyata ini dianggep allowed juga (flickr.com)

nah sekarang gw tinggal upload script jahat lah ke sub domain gw itu...
abis itu gw buka script itu lewat timthumb di website target...
voila, file kita akan kesimpen di folder cache nya timthumb di website target
ya udah, dari situ gw bisa apa2 in tuh website

...

gimana ngatasinnya? ya update ke versi baru...
kalo kita ngga mau update... bisa dengan cara hapus semua domain allowed di dalem script nya


ya singkatnya sih kaya gitu, maap kalo ada yg kurang bener, gw bukan ahli

 

.bener sekali apa yang dibilang primiitif.
.tp apa dengan update timthumbnya sudah bisa lebih aman?

 

yg versi baru sih katanya aman bro, udah ditulis ulang code nya...
tapi ya namanya buatan manusia, ga ada yg 100% aman, pasti ada lah kelemahannya..

dengan selalu update engine/plugin ke versi terbaru minimal mengurangi resiko

 

.ok" master trima kasih solusinya..saya akan mencobanya terlebih dahulu..

 

Nice inpo gan.. makasih..

 

belum paham soalnya belum pernah makai dan belum tau scriptnya seperti apa.
tapi mungkin dengan menambah baris code semacam ini di awal script bisa sedikit membantu

Code:

if($_SERVER["HTTP_HOST"] != 'domainmu.com') { exit; }

supaya cara yang dilakukan seperti primitip

tidak akan berfungsi lagi, karena host flickr.com.adsenseid.com tidak sama dengan host flickr.com

 

update patch terbaru aja bro, atau matiin fungsi array dari variabel $allowed_sites
hehehehe, setau ane gitu

 

TimThumb Vulnerability Scanner ga bisa ngatasi kah?

 

gan bisa gan udh gw coba..

---------- Post added at 09:18 AM ---------- Previous post was at 09:17 AM ----------

.udh kok gan makanya selalu mengikuti perkembangan timthumb.

 

situsku juga ada yang nyoba mau masukin phpshell dengan cara ini. kayaknya pelakunya hacker kacangan karena gak bisa membedakan site WP atau bukan dan menggunakan timthumb atau bukan.

url yang diakses kayak gini hxxp://domainku/wp-content/themes/Avenue/timthumb.php?src=url_script_jahat
setelah itu dia mencoba mengakses cache, url hxxp://domainku/wp-content/themes/Avenue/cache/ab964d15e183bbc7946c6bfb07bd7d2f.php
ketemu ama 404 dia beralih ke url hxxp://domainku/wp-content/themes/Avenue/temp/external_ab964d15e183bbc7946c6bfb07bd7d2f.php

dari loger 404 ku terrekam ada 3 kali orang yang berusaha dengan cara seperti di atas.

karena penasaran akhirnya aku cari script timthumb, njlimet juga melototin script segitu panjangnya.

untuk menambah pengamanan sendiri bisa menggunakan code bikinanku ini, taruh di atas baris timthumb::start();

Code:

$kue = explode('&', $_SERVER['QUERY_STRING']);
foreach($kue as $pahit) {
    if(preg_match('/http:\/\/|https:\/\/|ftp:\/\//i', $pahit)) {    
        $asal = explode('=', $pahit);
        $sumber = strtolower($asal[1]);
        $periksa = parse_url($sumber);
        if(!in_array($periksa['host'], $ALLOWED_SITES)) {
            header('HTTP/1.1 404 Not Found');
            echo 'Request url not found in this server';
            exit;
        }
    }
}

atau bisa juga pakai ini, tapi kayaknya lebih aman yang di atas.

Code:

if(preg_match('/\.php/i', $_SERVER['QUERY_STRING'])) {
    header('HTTP/1.1 404 Not Found');
    echo 'Request url not found in this server';
    exit;
}

supaya timthumb lebih aman set timthumbnya ALLOW_EXTERNAL false atau FILE_CACHE_ENABLED false

 

iya gan pakai plugin TimThumb Vulnerability Scanner aja entar ketahun bugnya dimana dan otomatis diperbaiki ama plugin tsb

 

Beberapa kali terjadi dg site wallpaper ku, kena hack.
ntah di pasangi apa sampai2 CPU Usage 100%.

 

.bener sekali apa yang dibilang primiitif.

.tp apa dengan update timthumbnya sudah bisa lebih aman?

 

.ok" master trima kasih solusinya..saya akan mencobanya terlebih dahulu..

 

belum paham soalnya belum pernah makai dan belum tau scriptnya seperti apa.

tapi mungkin dengan menambah baris code semacam ini di awal script bisa sedikit membantu


Code:
if($_SERVER["HTTP_HOST"] != 'domainmu.com') { exit; }
supaya cara yang dilakukan seperti primitip






misal gw punya domain: adsenseid.com

trus gw tambahin sub-domain: flickr.com.adsenseid.com <-- ternyata ini dianggep allowed juga (flickr.com)



tidak akan berfungsi lagi, karena host flickr.com.adsenseid.com tidak sama dengan host flickr.com