Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Solucionado [SOLUCIONADO]Vulnerabilidad de seguridad en algunos BBCodes
#1
Hola.

Según comenta Stoker, al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT} o {IDENTIFIER} según nos interese o convenga.

Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, me explico con un ejemplo "vulnerable":


Código:
<div style="{TEXT1}">{TEXT2}</div>


En este código HTML {TEXT1} seria reemplazado por left, right o center (por ejemplo) pero alguien podría introducir cualquier otro código. Para lograr el mismo BBCode sin ser vulnerable, serviria ese código:


Código:
<div style="{SIMPLETEXT}">{TEXT2}</div>


Repito solo, los BBCodes que estan dentro de etiquetas HTML, otro ejemplo de código NO vulnerable es este:


Código:
<div style="center">{TEXT}</div>


¿Porque este {TEXT} no es vulnerable? Porque NO esta dentro de la etiqueta HTML, creo que esta mas o menos bien explicado, si aún así tenéis dudas, enviarlas a este foropor favor.

También hay un tema en phpBB (sitio oficial) que hablan sobre esto.
Fuente The KuKa en Phpbb-hispano
WWW
#2
Curioso
Gracias por ponernos al dia
elCSS.com
[Imagen: 33jsqk6.png]
Crece con nosotros || Síguenos en Twitter - Facebook - RSS
WWW
#3
De nada es un placer, los tendremos que revisar (suerte ue se puede hacer desde el ACP Guiño
WWW
#4
Supongo papi, que esto lo habrás aplicado al foro, no? xD

Si no ya lo hará Mine, que para eso está, para hacer cosas jaja. Pobre, lo estamos explotando jeje...
WWW
#5
Aun no me ha dado tiempo, estoy probandolo en QA.skylium.net antes de ponerlo aqui. haced pruebas alli y si funcionan todos los bbcodes, entonces lo ponemos aqui.
Se trata de sustituir solo los {TEXT} que vayan entre los tag de html "<" y ">" (sin las comillas) Guiño
WWW
#6
bueno, asunto arreglado (creo) Si notan alguna anomalia díganlo Guiño
WWW
#7
Cambio el título de [SOLVENTADA] por [SOLUCIONADO].
WWW
#8
Perfecto chavales, ya podríais cerrar el tema
elCSS.com
[Imagen: 33jsqk6.png]
Crece con nosotros || Síguenos en Twitter - Facebook - RSS
WWW
#9
dBer escribió:Perfecto chavales, ya podríais cerrar el tema
Eso es algo que pasaba en Dixel... Aquí no cerramos ningún post... Simplemente lo marcamos como SOLUCIONADO o con cualquier otra cosa (como puedes ver en el título), para que así haya más posibilidades de postear y/o participal en el foro Gran sonrisa
WWW
#10
Buena idea!
Odio que en algun foro, cuando escribes en algun post que hace mucho que no hablan, te echen la buya, coño cierralo, o sino, cayate! jejeje
Me gusta este sistema
elCSS.com
[Imagen: 33jsqk6.png]
Crece con nosotros || Síguenos en Twitter - Facebook - RSS
WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  [SOLUCIONADO]Administrador pueda editar sus mensajes Aguma 13 1,077 25-12-2009, 10:14 PM
Último mensaje: papi



Usuarios navegando en este tema: 1 invitado(s)