Responder al tema  [ 14 mensajes ] 
Vulnerabilidad de seguridad en algunos BBCodes 
Autor Mensaje
Forero Experto
Forero Experto
Avatar de Usuario

Registrado: 10-28-2007, 1:40
Mensajes: 2071
Ubicación: Argentina
Nota Vulnerabilidad de seguridad en algunos BBCodes
Hola!!

Parece ser, que al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT}

Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, por ejemplo este bbcode "sería vulnerable":

Código:
<div style="{TEXT1}">{TEXT2}</div>


Para lograr el mismo BBCode sin ser vulnerable, serviria este código:

Código:
<div style="{SIMPLETEXT}">{TEXT2}</div>


Otro ejemplo de código NO vulnerable es este (ver que {TEXT} está fuera del Html):

Código:
    <div style="center">{TEXT}</div>


Bueno, esto no es invento mío... :neutral: están hablando y explicando mas detalles del tema en el sitio oficial de phpbb.com:

http://www.phpbb.com/community/viewtopi ... &t=1967215

Solo les traigo la info y la manera de correjir esa vulnerabilidad descubierta.

Saludos a todos!

_________________
LA CAFETERIA !


02-04-2010, 3:25
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 05-01-2008, 17:03
Mensajes: 688
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Muchas gracias Mr Dreams!!

Extremadamente importante, y creo que se nos ha pasado por alto a muchos!

Creo que lo primero que deberíamos hacer es repasar los BBCodes que hay publicados como Tutoriales, y ver cuáles están potencialmente afectados, proponiendo los cambios correspondientes!

Saludos,
-javiexin

_________________
http://www.exincastillos.es


02-04-2010, 9:45
Perfil
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 04-23-2008, 1:23
Mensajes: 401
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas?

_________________
Mi dirección:

http://ciclismo.foroactivo.es

www.forociclismo.org


02-04-2010, 14:02
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 04-23-2008, 1:23
Mensajes: 401
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Perdonad, pero tengo problemas con un bbcode, "col",

Código:
[col]{TEXT1}|{TEXT2}[/col]

Código:
<table width="100%"><tr><td style="vertical-align: top; width:50%; padding-right:10px;">{TEXT1}</td><td style="vertical-align: top; width:50%; padding-left:10px;">{TEXT2}</td></tr></table>


He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode?

_________________
Mi dirección:

http://ciclismo.foroactivo.es

www.forociclismo.org


02-04-2010, 14:24
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 05-01-2008, 17:03
Mensajes: 688
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Gasberts escribió:
Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas?


Es posible que tengas problemas, Gasberts. Los SIMPLETEXT sólo admiten caracteres y poco más (en concreto, caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo) así que no admiten cosas como los dos puntos, o las barras, o las comillas, que pueden ser necesarias en algunos casos. Tampoco admiten acentos ni eñes, así que palabras en "español" tampoco :(. IDENTIFIER es aún peor, sólo admite carecteres del alfabeto latino (A-Z), números, guión y guión bajo...

Por eso hay que ser algo más selectivo. Y no es tan fácil arreglar el tema: hay casos en los que precisamente lo que se pretende es tener la flexibilidad de hacer estas cosas...

Ejemplos de usos NO PELIGROSOS (no hay que cambiarlo) es cuando se usa {TEXT} entre etiquetas HTML:
Código:
<center>{TEXT}</center>


Ejemplos de usos PELIGROSOS (hay que cambiarlos) es cuando se usa {TEXT} dentro de una etiqueta HTML:
Código:
<a name="{TEXT}"></a>


Ejemplo mixto - TEXT1 es peligroso, TEXT2 no lo es:
Código:
<td style:"{TEXT1}">{TEXT2}</td>


Espero haber aclarado el tema... va a suponer un problema grave en muchos casos, porque algunos BBCodes útiles deben considerarse como arriesgados...

Saludos,
-javiexin

_________________
http://www.exincastillos.es


02-04-2010, 14:34
Perfil
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 05-01-2008, 17:03
Mensajes: 688
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Gasberts escribió:
Perdonad, pero tengo problemas con un bbcode, "col",

Código:
[col]{TEXT1}|{TEXT2}[/col]

Código:
<table width="100%"><tr><td style="vertical-align: top; width:50%; padding-right:10px;">{TEXT1}</td><td style="vertical-align: top; width:50%; padding-left:10px;">{TEXT2}</td></tr></table>


He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode?


Lo que te decía antes: este es seguro, no tienes que cambiarlo, porque los TEXT están ENTRE etiquetas HTML y no DENTRO DE las etiquetas (entre < y >, ahí es donde son peligrosos).

Saludos,
-javiexin

_________________
http://www.exincastillos.es


02-04-2010, 14:36
Perfil
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 04-23-2008, 1:23
Mensajes: 401
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Otra pregunta, ¿hay que cambiarlo tmbién en "reemplazo html"?, o vale en "uso de BBCode".

_________________
Mi dirección:

http://ciclismo.foroactivo.es

www.forociclismo.org


02-04-2010, 15:30
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 05-01-2008, 17:03
Mensajes: 688
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Claro, hay que cambiar en reemplazo HTML...

_________________
http://www.exincastillos.es


02-04-2010, 15:33
Perfil
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 04-23-2008, 1:23
Mensajes: 401
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Vale, pues tengo todos correctos ya, pero tengo uno que no sé:

Código:
[youtube]http://{TEXT1}.youtube.com/watch?v={TEXT2}[/youtube]


Código:
<object width="425" height="350"><param name="movie" value="http://{TEXT1}.youtube.com/v/{TEXT2}"></param><param name="wmode" value="transparent"></param><embed src="http://{TEXT1}.youtube.com/v/{TEXT2}" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350"></embed></object>

_________________
Mi dirección:

http://ciclismo.foroactivo.es

www.forociclismo.org


02-04-2010, 16:11
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 05-01-2008, 17:03
Mensajes: 688
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Gasberts escribió:
Vale, pues tengo todos correctos ya, pero tengo uno que no sé:

Código:
[youtube]http://{TEXT1}.youtube.com/watch?v={TEXT2}[/youtube]


Código:
<object width="425" height="350"><param name="movie" value="http://{TEXT1}.youtube.com/v/{TEXT2}"></param><param name="wmode" value="transparent"></param><embed src="http://{TEXT1}.youtube.com/v/{TEXT2}" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350"></embed></object>


En este, cambia TEXT por IDENTIFIER. En ambos casos es correcto: una parte de un nombre de dominio y un identificador de video de youtube. Debería seguir funcionando (casi) siempre.

-javiexin

_________________
http://www.exincastillos.es


02-04-2010, 16:15
Perfil
Forero Experto
Forero Experto
Avatar de Usuario

Registrado: 10-28-2007, 1:40
Mensajes: 2071
Ubicación: Argentina
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Un ejemplo de bbcode Youtube funcionando perfectamente seria:

Uso bbcode:

Código:
[youtube]http://{SIMPLETEXT1}.youtube.com/watch?v={SIMPLETEXT2}[/youtube]


Html:

Código:
<object width="520" height="439"><param name="movie" value="http://{SIMPLETEXT1}.youtube.com/v/{SIMPLETEXT2}"></param><param name="wmode" value="transparent"></param><embed src="http://{SIMPLETEXT1}.youtube.com/v/{SIMPLETEXT2}" type="application/x-shockwave-flash" wmode="transparent" width="520" height="439"></embed></object>


PD: En este caso, se introduce la URl completa del video de Youtube.

Saludos!

_________________
LA CAFETERIA !


02-04-2010, 17:26
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 04-23-2008, 1:23
Mensajes: 401
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Cambiando a IDENTIFIER me funcionan todos los que tengo, osea que por no ir modificando todos uno a uno, que me llevaría tiempo los dejo, copio el de Dreams por si acaso.

Gracias chicos.

_________________
Mi dirección:

http://ciclismo.foroactivo.es

www.forociclismo.org


02-04-2010, 18:53
Perfil WWW
Forero Experto
Forero Experto
Avatar de Usuario

Registrado: 10-28-2007, 1:40
Mensajes: 2071
Ubicación: Argentina
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
Si, igual es vulnerable para alguien malintencionado y experto en HTML, no culaquiera podria hacerte daño en el foro aunque no lo corrijas... ;)

_________________
LA CAFETERIA !


02-04-2010, 22:10
Perfil WWW
Forero Fijo
Forero Fijo
Avatar de Usuario

Registrado: 04-23-2008, 1:23
Mensajes: 401
Nota Re: Vulnerabilidad de seguridad en algunos BBCodes
De cualquier manera es un alivio contar con ciertos avisos, yo de estas cosas ni pajolera idea, de nuevo gracias.

_________________
Mi dirección:

http://ciclismo.foroactivo.es

www.forociclismo.org


02-04-2010, 22:51
Perfil WWW
Mostrar mensajes previos:  Ordenar por  
Responder al tema   [ 14 mensajes ] 

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 0 invitados


No puede abrir nuevos temas en este Foro
No puede responder a temas en este Foro
No puede editar sus mensajes en este Foro
No puede borrar sus mensajes en este Foro
No puede enviar adjuntos en este Foro

Saltar a:  
cron
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group.
Designed by STSoftware for PTF.
Traducción al español por Huan Manwë para phpbb-es.com
phpBB SEO