[漏洞修复] 3-23 修复博客SSRF漏洞一枚

在此感谢@deepweb 对本站的友情检测，起因似乎是因为他也挺喜欢我这个主题，-。-。

在这之前，我一直觉得我的站很安全，除非wordpress出漏洞，否则没毛病，然而今天却被刷新了认知。。。

@deepweb 提供的部分漏洞截图：

好吧，好歹我一直以安全爱好者自居，却对SSRF一无所知。

TimThumb version : 2.8.13这个插件以前有个远程命令执行漏洞，被我修复了。

今天又蹦出来一个TimThumb version : 2.8.13 SSRF漏洞，并且百度查了半天没看到有人公布。。。

因为对SSRF一无所知，临时抱佛脚，去翻阅了很多资料，然而看的我还是一头雾水，对于利用方面还是没弄懂，有机会请教下。

TimThumb version : 2.8.13 SSRF漏洞我并不知道怎么修复，百度也没查到，只是查到了一些大概的SSRF防御措施，然而并不能救火；
在翻阅了大量资料无果后，我最终选择放弃TimThumb；
wordpress 绝大部分漏洞出在第三方上面这句话一点都没毛病，TimThumb老是出漏洞，鬼知道还有没有未公布的漏洞，某天我博客又被秒了，而且我博客也只有商城一处使用TimThumb；
为了尽量安全，我选择弃用TimThumb，换成纯代码。

修复方案

1.在主题的 functions.php 文件添加如下代码，并删除 function post_thumbnail_src()这片代码：

//缩略图生成
function thumb_img($soContent){
$soImages = '~]*\ />~';
preg_match_all( $soImages, $soContent, $thePics );
$allPics = count($thePics[0]);
if( $allPics > 0 ){
echo "";
echo $thePics[0][0];
echo '';
}
else {
echo "";
echo "";
}
}

2.修改商城和手机主题的缩略图调用：

	                

                        	
                        	post_content);?>
	                  

目前就这样，图片显示并不多，如果有天发现图片加载实在太卡的时候，我在加上图片缓存即可。