Pagina 1 di 1
rischio Sicurezza bbcode
Inviato: 03/02/2013, 19:10
da risorsa
Salve ho letto in giro:
Ricordate che non è consentito utilizzare
{TEXT} all'interno dei tag html!
Questa istruzione provoca un grave rischio per la sicurezza del forum e degli utenti.
Come questo: <div style="
{TEXT}">
{TEXT} </ div>
Verde =
OK -
Rosso =
proibito
Perchè che può capitare?
Grazie,
Cordiali saluti.
Re: rischio Sicurezza bbcode
Inviato: 04/02/2013, 15:43
da ludwig
Suppongo che il messaggio si riferisca alla possibilità d'inserire codice html all'interno di tag BBcode quando s'invia un messaggio (o si risponde ad esso, come nel mio caso)....
Ebbene già il solo pensare una cosa del genere risulta essere
"un grave danno alla sicurezza del forum e degli utenti"
in quanto rappresenta una grave vulnerabilità ad attacchi di qualsiasi genere (anche tipo XSS).
Nel caso particolare (ammettendo solo utenti santi) dato che {TEXT} sarà stato utilizzato nel BBcode per creare il tag in esame, probabilmente il suo riutilizzo all'interno di un codice html porterebbe generare un loop sul richiamo del tag stesso... bloccando probabilmente anche l'intero server!
Re: rischio Sicurezza bbcode
Inviato: 08/02/2013, 21:18
da Silver Surfer
Il segnaposto
{TEXT}
è pericoloso solo se usato come argomento.
Puoi controllare la pericolosità dei tuoi BBCode semplicemente andando in modifica e spuntando il flag per renderli visibili in board ( nascondendoli), quindi leggere il messaggio eventuale prima della conferma.
La pericolosità più diretta che consente l'abuso del tag suddetto, è la possibilità di permettere anche Cross Site Scripting e codice comunque fuoricontrollo.
Giravano parecchi tag BBcode del genere per visualizzare i video di Youtube ad esempio.