Salve ho letto in giro:
Ricordate che non è consentito utilizzare {TEXT} all'interno dei tag html!
Questa istruzione provoca un grave rischio per la sicurezza del forum e degli utenti.
Come questo: <div style="{TEXT}"> {TEXT} </ div>
Verde = OK - Rosso = proibito
Perchè che può capitare?
Grazie,
Cordiali saluti.
phpBB Italia chiude!
phpBB Italia ringrazia tutti gli utenti che hanno dato fiducia al nostro progetto per ben 9 anni, e che, grazie al grande lavoro fatto da tutto lo Staff (rigorosamente a titolo gratuito), hanno portato il portale a diventare il principale punto di riferimento italiano alla piattaforma phpBB.
Purtroppo, causa motivi personali, non ho più modo di gestirlo e portarlo avanti. Il forum viene ora posto in uno stato di sola lettura, nonché un archivio storico per permettere a chiunque di fruire di tutte le discussioni trattate.
Il nuovo portale di assistenza per l'Italia di phpBB diventa phpBB-Store.it, cui ringrazio per aver deciso di portare avanti questo grande progetto.
Grazie ancora,
Carlo - Amministratore di phpBB Italia
phpBB Italia ringrazia tutti gli utenti che hanno dato fiducia al nostro progetto per ben 9 anni, e che, grazie al grande lavoro fatto da tutto lo Staff (rigorosamente a titolo gratuito), hanno portato il portale a diventare il principale punto di riferimento italiano alla piattaforma phpBB.
Purtroppo, causa motivi personali, non ho più modo di gestirlo e portarlo avanti. Il forum viene ora posto in uno stato di sola lettura, nonché un archivio storico per permettere a chiunque di fruire di tutte le discussioni trattate.
Il nuovo portale di assistenza per l'Italia di phpBB diventa phpBB-Store.it, cui ringrazio per aver deciso di portare avanti questo grande progetto.
Grazie ancora,
Carlo - Amministratore di phpBB Italia
rischio Sicurezza bbcode
-
risorsa
- Utente
- Messaggi: 72
- Iscritto il: 03/01/2013, 14:17
- Sesso: Maschio
- Versione: 3.0.11
- Server: UNIX/Linux
- PHP: 5.3
- Database: MySQL
rischio Sicurezza bbcode
Possiedo Premod SEO
Re: rischio Sicurezza bbcode
Suppongo che il messaggio si riferisca alla possibilità d'inserire codice html all'interno di tag BBcode quando s'invia un messaggio (o si risponde ad esso, come nel mio caso)....
Ebbene già il solo pensare una cosa del genere risulta essere
"un grave danno alla sicurezza del forum e degli utenti"
in quanto rappresenta una grave vulnerabilità ad attacchi di qualsiasi genere (anche tipo XSS).
Nel caso particolare (ammettendo solo utenti santi) dato che {TEXT} sarà stato utilizzato nel BBcode per creare il tag in esame, probabilmente il suo riutilizzo all'interno di un codice html porterebbe generare un loop sul richiamo del tag stesso... bloccando probabilmente anche l'intero server!
-
Silver Surfer
- Utente
- Messaggi: 115
- Iscritto il: 07/04/2011, 20:44
- Sesso: Maschio
- Versione: 3.0.12
- Server: UNIX/Linux
- PHP: 5.3.10
- Database: MySQL 5.1.49-community-log
- Località: Sassuolo
- Contatta:
Re: rischio Sicurezza bbcode
Il segnaposto
{TEXT}
è pericoloso solo se usato come argomento.
Puoi controllare la pericolosità dei tuoi BBCode semplicemente andando in modifica e spuntando il flag per renderli visibili in board ( nascondendoli), quindi leggere il messaggio eventuale prima della conferma.
La pericolosità più diretta che consente l'abuso del tag suddetto, è la possibilità di permettere anche Cross Site Scripting e codice comunque fuoricontrollo.
Giravano parecchi tag BBcode del genere per visualizzare i video di Youtube ad esempio.
{TEXT}
è pericoloso solo se usato come argomento.
Puoi controllare la pericolosità dei tuoi BBCode semplicemente andando in modifica e spuntando il flag per renderli visibili in board ( nascondendoli), quindi leggere il messaggio eventuale prima della conferma.
La pericolosità più diretta che consente l'abuso del tag suddetto, è la possibilità di permettere anche Cross Site Scripting e codice comunque fuoricontrollo.
Giravano parecchi tag BBcode del genere per visualizzare i video di Youtube ad esempio.
Chi c’è in linea
Visitano il forum: Nessuno e 6 ospiti