Calificación:
  • 0 voto(s) - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Solucionado [SOLUCIONADO]Vulnerabilidad de seguridad en algunos BBCodes
#1
Hola.

Según comenta Stoker, al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT} o {IDENTIFIER} según nos interese o convenga.

Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, me explico con un ejemplo "vulnerable":


Código:
<div style="{TEXT1}">{TEXT2}</div>


En este código HTML {TEXT1} seria reemplazado por left, right o center (por ejemplo) pero alguien podría introducir cualquier otro código. Para lograr el mismo BBCode sin ser vulnerable, serviria ese código:


Código:
<div style="{SIMPLETEXT}">{TEXT2}</div>


Repito solo, los BBCodes que estan dentro de etiquetas HTML, otro ejemplo de código NO vulnerable es este:


Código:
<div style="center">{TEXT}</div>


¿Porque este {TEXT} no es vulnerable? Porque NO esta dentro de la etiqueta HTML, creo que esta mas o menos bien explicado, si aún así tenéis dudas, enviarlas a este foropor favor.

También hay un tema en phpBB (sitio oficial) que hablan sobre esto.
Fuente The KuKa en Phpbb-hispano
WWW
#2
Curioso
Gracias por ponernos al dia
elCSS.com
[Imagen: 33jsqk6.png]
Crece con nosotros || Síguenos en Twitter - Facebook - RSS
WWW
#3
De nada es un placer, los tendremos que revisar (suerte ue se puede hacer desde el ACP Guiño
WWW
#4
Supongo papi, que esto lo habrás aplicado al foro, no? xD

Si no ya lo hará Mine, que para eso está, para hacer cosas jaja. Pobre, lo estamos explotando jeje...
[Imagen: firmatwitter.png][Imagen: firmataq.png]
WWW
#5
Aun no me ha dado tiempo, estoy probandolo en QA.skylium.net antes de ponerlo aqui. haced pruebas alli y si funcionan todos los bbcodes, entonces lo ponemos aqui.
Se trata de sustituir solo los {TEXT} que vayan entre los tag de html "<" y ">" (sin las comillas) Guiño
WWW
#6
bueno, asunto arreglado (creo) Si notan alguna anomalia díganlo Guiño
WWW
#7
Cambio el título de [SOLVENTADA] por [SOLUCIONADO].
[Imagen: firmatwitter.png][Imagen: firmataq.png]
WWW
#8
Perfecto chavales, ya podríais cerrar el tema
elCSS.com
[Imagen: 33jsqk6.png]
Crece con nosotros || Síguenos en Twitter - Facebook - RSS
WWW
#9
dBer escribió:Perfecto chavales, ya podríais cerrar el tema
Eso es algo que pasaba en Dixel... Aquí no cerramos ningún post... Simplemente lo marcamos como SOLUCIONADO o con cualquier otra cosa (como puedes ver en el título), para que así haya más posibilidades de postear y/o participal en el foro Gran sonrisa
[Imagen: firmatwitter.png][Imagen: firmataq.png]
WWW
#10
Buena idea!
Odio que en algun foro, cuando escribes en algun post que hace mucho que no hablan, te echen la buya, coño cierralo, o sino, cayate! jejeje
Me gusta este sistema
elCSS.com
[Imagen: 33jsqk6.png]
Crece con nosotros || Síguenos en Twitter - Facebook - RSS
WWW


Posibles temas similares...
Tema Autor Respuestas Vistas Último mensaje
  [SOLUCIONADO]Administrador pueda editar sus mensajes Aguma 13 1.043 25-12-2009, 10:14 PM
Último mensaje: papi



Usuarios navegando en este tema: 1 invitado(s)