|
Página 1 de 1
|
[ 14 mensajes ] |
|
Vulnerabilidad de seguridad en algunos BBCodes
Autor |
Mensaje |
MR.DREAMS
Forero Experto
Registrado: 10-28-2007, 1:40 Mensajes: 2071 Ubicación: Argentina
|
Vulnerabilidad de seguridad en algunos BBCodes
Hola!! Parece ser, que al introducir {TEXT} dentro de las etiquetas HTML hacemos vulnerable a nuestros foros phpBB3, con lo cual se recomienda y MUCHO revisar todos los BBCodes instalados en nuestros foros, y cambiar {TEXT} por {SIMPLETEXT}Tener en cuenta que son solo vulnerables los que están dentro de etiquetas HTML, por ejemplo este bbcode "sería vulnerable": Para lograr el mismo BBCode sin ser vulnerable, serviria este código: Otro ejemplo de código NO vulnerable es este (ver que {TEXT} está fuera del Html): Bueno, esto no es invento mío... están hablando y explicando mas detalles del tema en el sitio oficial de phpbb.com: http://www.phpbb.com/community/viewtopi ... &t=1967215Solo les traigo la info y la manera de correjir esa vulnerabilidad descubierta. Saludos a todos!
_________________LA CAFETERIA !
|
02-04-2010, 3:25 |
|
|
javiexin
Forero Fijo
Registrado: 05-01-2008, 17:03 Mensajes: 688
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Muchas gracias Mr Dreams!!
Extremadamente importante, y creo que se nos ha pasado por alto a muchos!
Creo que lo primero que deberíamos hacer es repasar los BBCodes que hay publicados como Tutoriales, y ver cuáles están potencialmente afectados, proponiendo los cambios correspondientes!
Saludos, -javiexin
|
02-04-2010, 9:45 |
|
|
Gasberts
Forero Fijo
Registrado: 04-23-2008, 1:23 Mensajes: 401
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Yo he cambiado todos los que están en el mi foro, pero tengo una pregunta, como coy bastante inculto lo que he hecho es buscar todos los {TEXT} por {SIMPLETEXT}, porque no soy capaz de encontrar la diferencia entre los que hay que sustituir y los que no, ¿tendre problemas?
|
02-04-2010, 14:02 |
|
|
Gasberts
Forero Fijo
Registrado: 04-23-2008, 1:23 Mensajes: 401
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Perdonad, pero tengo problemas con un bbcode, "col", He probado a sustituir "text" por "simpletext", o incluso por "{IDENTIFIER}" y no me funciona, ¿cómo debería estar ese bbcode?
|
02-04-2010, 14:24 |
|
|
javiexin
Forero Fijo
Registrado: 05-01-2008, 17:03 Mensajes: 688
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Es posible que tengas problemas, Gasberts. Los SIMPLETEXT sólo admiten caracteres y poco más (en concreto, caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo) así que no admiten cosas como los dos puntos, o las barras, o las comillas, que pueden ser necesarias en algunos casos. Tampoco admiten acentos ni eñes, así que palabras en "español" tampoco . IDENTIFIER es aún peor, sólo admite carecteres del alfabeto latino (A-Z), números, guión y guión bajo... Por eso hay que ser algo más selectivo. Y no es tan fácil arreglar el tema: hay casos en los que precisamente lo que se pretende es tener la flexibilidad de hacer estas cosas... Ejemplos de usos NO PELIGROSOS (no hay que cambiarlo) es cuando se usa {TEXT} entre etiquetas HTML: Ejemplos de usos PELIGROSOS (hay que cambiarlos) es cuando se usa {TEXT} dentro de una etiqueta HTML: Ejemplo mixto - TEXT1 es peligroso, TEXT2 no lo es: Espero haber aclarado el tema... va a suponer un problema grave en muchos casos, porque algunos BBCodes útiles deben considerarse como arriesgados... Saludos, -javiexin
|
02-04-2010, 14:34 |
|
|
javiexin
Forero Fijo
Registrado: 05-01-2008, 17:03 Mensajes: 688
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Lo que te decía antes: este es seguro, no tienes que cambiarlo, porque los TEXT están ENTRE etiquetas HTML y no DENTRO DE las etiquetas (entre < y >, ahí es donde son peligrosos). Saludos, -javiexin
|
02-04-2010, 14:36 |
|
|
Gasberts
Forero Fijo
Registrado: 04-23-2008, 1:23 Mensajes: 401
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Otra pregunta, ¿hay que cambiarlo tmbién en "reemplazo html"?, o vale en "uso de BBCode".
|
02-04-2010, 15:30 |
|
|
javiexin
Forero Fijo
Registrado: 05-01-2008, 17:03 Mensajes: 688
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Claro, hay que cambiar en reemplazo HTML...
|
02-04-2010, 15:33 |
|
|
Gasberts
Forero Fijo
Registrado: 04-23-2008, 1:23 Mensajes: 401
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Vale, pues tengo todos correctos ya, pero tengo uno que no sé:
|
02-04-2010, 16:11 |
|
|
javiexin
Forero Fijo
Registrado: 05-01-2008, 17:03 Mensajes: 688
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
En este, cambia TEXT por IDENTIFIER. En ambos casos es correcto: una parte de un nombre de dominio y un identificador de video de youtube. Debería seguir funcionando (casi) siempre. -javiexin
|
02-04-2010, 16:15 |
|
|
MR.DREAMS
Forero Experto
Registrado: 10-28-2007, 1:40 Mensajes: 2071 Ubicación: Argentina
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Un ejemplo de bbcode Youtube funcionando perfectamente seria: Uso bbcode: Html: PD: En este caso, se introduce la URl completa del video de Youtube. Saludos!
_________________LA CAFETERIA !
|
02-04-2010, 17:26 |
|
|
Gasberts
Forero Fijo
Registrado: 04-23-2008, 1:23 Mensajes: 401
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Cambiando a IDENTIFIER me funcionan todos los que tengo, osea que por no ir modificando todos uno a uno, que me llevaría tiempo los dejo, copio el de Dreams por si acaso.
Gracias chicos.
|
02-04-2010, 18:53 |
|
|
MR.DREAMS
Forero Experto
Registrado: 10-28-2007, 1:40 Mensajes: 2071 Ubicación: Argentina
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
Si, igual es vulnerable para alguien malintencionado y experto en HTML, no culaquiera podria hacerte daño en el foro aunque no lo corrijas...
_________________LA CAFETERIA !
|
02-04-2010, 22:10 |
|
|
Gasberts
Forero Fijo
Registrado: 04-23-2008, 1:23 Mensajes: 401
|
Re: Vulnerabilidad de seguridad en algunos BBCodes
De cualquier manera es un alivio contar con ciertos avisos, yo de estas cosas ni pajolera idea, de nuevo gracias.
|
02-04-2010, 22:51 |
|
|
|
Página 1 de 1
|
[ 14 mensajes ] |
|
¿Quién está conectado? |
Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 4 invitados |
|
No puede abrir nuevos temas en este Foro No puede responder a temas en este Foro No puede editar sus mensajes en este Foro No puede borrar sus mensajes en este Foro No puede enviar adjuntos en este Foro
|
|