Foro de Soporte de WwW.ForoGratis.ES https://soporte.forogratis.es:443/ |
|
Vulnerabilidad de seguridad en algunos BBCodes https://soporte.forogratis.es:443/topic33501.html |
Página 1 de 1 |
Autor: | MR.DREAMS [ 02-04-2010, 3:25 ] | |||||||||||||||||||||||||||
Asunto: | Vulnerabilidad de seguridad en algunos BBCodes | |||||||||||||||||||||||||||
Hola!! Parece ser, que al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT} Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, por ejemplo este bbcode "sería vulnerable":
Para lograr el mismo BBCode sin ser vulnerable, serviria este código:
Otro ejemplo de código NO vulnerable es este (ver que {TEXT} está fuera del Html):
Bueno, esto no es invento mío... están hablando y explicando mas detalles del tema en el sitio oficial de phpbb.com: http://www.phpbb.com/community/viewtopi ... &t=1967215 Solo les traigo la info y la manera de correjir esa vulnerabilidad descubierta. Saludos a todos! |
Autor: | javiexin [ 02-04-2010, 9:45 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
Muchas gracias Mr Dreams!! Extremadamente importante, y creo que se nos ha pasado por alto a muchos! Creo que lo primero que deberíamos hacer es repasar los BBCodes que hay publicados como Tutoriales, y ver cuáles están potencialmente afectados, proponiendo los cambios correspondientes! Saludos, -javiexin |
Autor: | Gasberts [ 02-04-2010, 14:02 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas? |
Autor: | Gasberts [ 02-04-2010, 14:24 ] | ||||||||||||||||||
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes | ||||||||||||||||||
Perdonad, pero tengo problemas con un bbcode, "col",
He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode? |
Autor: | javiexin [ 02-04-2010, 14:34 ] | ||||||||||||||||||||||||||||||||||||
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes | ||||||||||||||||||||||||||||||||||||
Es posible que tengas problemas, Gasberts. Los SIMPLETEXT sólo admiten caracteres y poco más (en concreto, caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo) así que no admiten cosas como los dos puntos, o las barras, o las comillas, que pueden ser necesarias en algunos casos. Tampoco admiten acentos ni eñes, así que palabras en "español" tampoco . IDENTIFIER es aún peor, sólo admite carecteres del alfabeto latino (A-Z), números, guión y guión bajo... Por eso hay que ser algo más selectivo. Y no es tan fácil arreglar el tema: hay casos en los que precisamente lo que se pretende es tener la flexibilidad de hacer estas cosas... Ejemplos de usos NO PELIGROSOS (no hay que cambiarlo) es cuando se usa {TEXT} entre etiquetas HTML:
Ejemplos de usos PELIGROSOS (hay que cambiarlos) es cuando se usa {TEXT} dentro de una etiqueta HTML:
Ejemplo mixto - TEXT1 es peligroso, TEXT2 no lo es:
Espero haber aclarado el tema... va a suponer un problema grave en muchos casos, porque algunos BBCodes útiles deben considerarse como arriesgados... Saludos, -javiexin |
Autor: | javiexin [ 02-04-2010, 14:36 ] | |||||||||||||||||||||||||||
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes | |||||||||||||||||||||||||||
Lo que te decía antes: este es seguro, no tienes que cambiarlo, porque los TEXT están ENTRE etiquetas HTML y no DENTRO DE las etiquetas (entre < y >, ahí es donde son peligrosos). Saludos, -javiexin |
Autor: | Gasberts [ 02-04-2010, 15:30 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
Otra pregunta, ¿hay que cambiarlo tmbién en "reemplazo html"?, o vale en "uso de BBCode". |
Autor: | javiexin [ 02-04-2010, 15:33 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
Claro, hay que cambiar en reemplazo HTML... |
Autor: | Gasberts [ 02-04-2010, 16:11 ] | ||||||||||||||||||
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes | ||||||||||||||||||
Vale, pues tengo todos correctos ya, pero tengo uno que no sé:
|
Autor: | javiexin [ 02-04-2010, 16:15 ] | |||||||||||||||||||||||||||
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes | |||||||||||||||||||||||||||
En este, cambia TEXT por IDENTIFIER. En ambos casos es correcto: una parte de un nombre de dominio y un identificador de video de youtube. Debería seguir funcionando (casi) siempre. -javiexin |
Autor: | MR.DREAMS [ 02-04-2010, 17:26 ] | ||||||||||||||||||
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes | ||||||||||||||||||
Un ejemplo de bbcode Youtube funcionando perfectamente seria: Uso bbcode:
Html:
PD: En este caso, se introduce la URl completa del video de Youtube. Saludos! |
Autor: | Gasberts [ 02-04-2010, 18:53 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
Cambiando a IDENTIFIER me funcionan todos los que tengo, osea que por no ir modificando todos uno a uno, que me llevaría tiempo los dejo, copio el de Dreams por si acaso. Gracias chicos. |
Autor: | MR.DREAMS [ 02-04-2010, 22:10 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
Si, igual es vulnerable para alguien malintencionado y experto en HTML, no culaquiera podria hacerte daño en el foro aunque no lo corrijas... |
Autor: | Gasberts [ 02-04-2010, 22:51 ] |
Asunto: | Re: Vulnerabilidad de seguridad en algunos BBCodes |
De cualquier manera es un alivio contar con ciertos avisos, yo de estas cosas ni pajolera idea, de nuevo gracias. |
Página 1 de 1 | Todos los horarios son UTC + 2 horas |
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group http://www.phpbb.com/ |