Foro de Soporte de WwW.ForoGratis.ES
https://soporte.forogratis.es:443/

Vulnerabilidad de seguridad en algunos BBCodes
https://soporte.forogratis.es:443/topic33501.html
Página 1 de 1

Autor:  MR.DREAMS [ 02-04-2010, 3:25 ]
Asunto:  Vulnerabilidad de seguridad en algunos BBCodes

Hola!!

Parece ser, que al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT}

Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, por ejemplo este bbcode "sería vulnerable":

Código:
<div style="{TEXT1}">{TEXT2}</div>


Para lograr el mismo BBCode sin ser vulnerable, serviria este código:

Código:
<div style="{SIMPLETEXT}">{TEXT2}</div>


Otro ejemplo de código NO vulnerable es este (ver que {TEXT} está fuera del Html):

Código:
    <div style="center">{TEXT}</div>


Bueno, esto no es invento mío... :neutral: están hablando y explicando mas detalles del tema en el sitio oficial de phpbb.com:

http://www.phpbb.com/community/viewtopi ... &t=1967215

Solo les traigo la info y la manera de correjir esa vulnerabilidad descubierta.

Saludos a todos!

Autor:  javiexin [ 02-04-2010, 9:45 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Muchas gracias Mr Dreams!!

Extremadamente importante, y creo que se nos ha pasado por alto a muchos!

Creo que lo primero que deberíamos hacer es repasar los BBCodes que hay publicados como Tutoriales, y ver cuáles están potencialmente afectados, proponiendo los cambios correspondientes!

Saludos,
-javiexin

Autor:  Gasberts [ 02-04-2010, 14:02 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas?

Autor:  Gasberts [ 02-04-2010, 14:24 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Perdonad, pero tengo problemas con un bbcode, "col",

Código:
[col]{TEXT1}|{TEXT2}[/col]

Código:
<table width="100%"><tr><td style="vertical-align: top; width:50%; padding-right:10px;">{TEXT1}</td><td style="vertical-align: top; width:50%; padding-left:10px;">{TEXT2}</td></tr></table>


He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode?

Autor:  javiexin [ 02-04-2010, 14:34 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Gasberts escribió:
Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas?


Es posible que tengas problemas, Gasberts. Los SIMPLETEXT sólo admiten caracteres y poco más (en concreto, caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo) así que no admiten cosas como los dos puntos, o las barras, o las comillas, que pueden ser necesarias en algunos casos. Tampoco admiten acentos ni eñes, así que palabras en "español" tampoco :(. IDENTIFIER es aún peor, sólo admite carecteres del alfabeto latino (A-Z), números, guión y guión bajo...

Por eso hay que ser algo más selectivo. Y no es tan fácil arreglar el tema: hay casos en los que precisamente lo que se pretende es tener la flexibilidad de hacer estas cosas...

Ejemplos de usos NO PELIGROSOS (no hay que cambiarlo) es cuando se usa {TEXT} entre etiquetas HTML:
Código:
<center>{TEXT}</center>


Ejemplos de usos PELIGROSOS (hay que cambiarlos) es cuando se usa {TEXT} dentro de una etiqueta HTML:
Código:
<a name="{TEXT}"></a>


Ejemplo mixto - TEXT1 es peligroso, TEXT2 no lo es:
Código:
<td style:"{TEXT1}">{TEXT2}</td>


Espero haber aclarado el tema... va a suponer un problema grave en muchos casos, porque algunos BBCodes útiles deben considerarse como arriesgados...

Saludos,
-javiexin

Autor:  javiexin [ 02-04-2010, 14:36 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Gasberts escribió:
Perdonad, pero tengo problemas con un bbcode, "col",

Código:
[col]{TEXT1}|{TEXT2}[/col]

Código:
<table width="100%"><tr><td style="vertical-align: top; width:50%; padding-right:10px;">{TEXT1}</td><td style="vertical-align: top; width:50%; padding-left:10px;">{TEXT2}</td></tr></table>


He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode?


Lo que te decía antes: este es seguro, no tienes que cambiarlo, porque los TEXT están ENTRE etiquetas HTML y no DENTRO DE las etiquetas (entre < y >, ahí es donde son peligrosos).

Saludos,
-javiexin

Autor:  Gasberts [ 02-04-2010, 15:30 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Otra pregunta, ¿hay que cambiarlo tmbién en "reemplazo html"?, o vale en "uso de BBCode".

Autor:  javiexin [ 02-04-2010, 15:33 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Claro, hay que cambiar en reemplazo HTML...

Autor:  Gasberts [ 02-04-2010, 16:11 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Vale, pues tengo todos correctos ya, pero tengo uno que no sé:

Código:
[youtube]http://{TEXT1}.youtube.com/watch?v={TEXT2}[/youtube]


Código:
<object width="425" height="350"><param name="movie" value="http://{TEXT1}.youtube.com/v/{TEXT2}"></param><param name="wmode" value="transparent"></param><embed src="http://{TEXT1}.youtube.com/v/{TEXT2}" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350"></embed></object>

Autor:  javiexin [ 02-04-2010, 16:15 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Gasberts escribió:
Vale, pues tengo todos correctos ya, pero tengo uno que no sé:

Código:
[youtube]http://{TEXT1}.youtube.com/watch?v={TEXT2}[/youtube]


Código:
<object width="425" height="350"><param name="movie" value="http://{TEXT1}.youtube.com/v/{TEXT2}"></param><param name="wmode" value="transparent"></param><embed src="http://{TEXT1}.youtube.com/v/{TEXT2}" type="application/x-shockwave-flash" wmode="transparent" width="425" height="350"></embed></object>


En este, cambia TEXT por IDENTIFIER. En ambos casos es correcto: una parte de un nombre de dominio y un identificador de video de youtube. Debería seguir funcionando (casi) siempre.

-javiexin

Autor:  MR.DREAMS [ 02-04-2010, 17:26 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Un ejemplo de bbcode Youtube funcionando perfectamente seria:

Uso bbcode:

Código:
[youtube]http://{SIMPLETEXT1}.youtube.com/watch?v={SIMPLETEXT2}[/youtube]


Html:

Código:
<object width="520" height="439"><param name="movie" value="http://{SIMPLETEXT1}.youtube.com/v/{SIMPLETEXT2}"></param><param name="wmode" value="transparent"></param><embed src="http://{SIMPLETEXT1}.youtube.com/v/{SIMPLETEXT2}" type="application/x-shockwave-flash" wmode="transparent" width="520" height="439"></embed></object>


PD: En este caso, se introduce la URl completa del video de Youtube.

Saludos!

Autor:  Gasberts [ 02-04-2010, 18:53 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Cambiando a IDENTIFIER me funcionan todos los que tengo, osea que por no ir modificando todos uno a uno, que me llevaría tiempo los dejo, copio el de Dreams por si acaso.

Gracias chicos.

Autor:  MR.DREAMS [ 02-04-2010, 22:10 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

Si, igual es vulnerable para alguien malintencionado y experto en HTML, no culaquiera podria hacerte daño en el foro aunque no lo corrijas... ;)

Autor:  Gasberts [ 02-04-2010, 22:51 ]
Asunto:  Re: Vulnerabilidad de seguridad en algunos BBCodes

De cualquier manera es un alivio contar con ciertos avisos, yo de estas cosas ni pajolera idea, de nuevo gracias.

Página 1 de 1 Todos los horarios son UTC + 2 horas
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
http://www.phpbb.com/