phpBB España Oficial, Soporte Internacional Oficial del sistema de foros phpBB en Español, extensiones, estilos, traducciones, guías, tutoriales, videos, redes sociales, webmaster. https://www.phpbb-es.com/foro/
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 08 Feb 2010, 13:00
por mitch
teto86, cambia el {TEXT} (que aparece 2 veces en el reemplazo bbcode, y que aparece 1 vez en uso de bbcode) por {IDENTIFIER}.
Sobre los demás bbcodes, he estado actualizando el foro de bbcodes de esta web, pero me ha faltado tiempo, espero terminar de revisarlos hoy, junto a otras cosas que tengo pendientes
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 08 Feb 2010, 13:43
por teto86
No se que e hecho mal.. en uso de bbcode e puesto esto.
Y ahora ya no veo los videos... bueno veo los que ya estaban puestos, pero los que pongo nuevos no los puedo ver... no se porque.
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 08 Feb 2010, 20:19
por mitch
Pues a mi me va bien... recuerda poner www.youtube.com y no es.youtube, quizas es eso.
si quieres para ambos, en vez de www.youtube.com debes poner {SIMPLETEXT}.youtube.com
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 09 Feb 2010, 00:55
por teto86
Muchas gracias por la informacion.
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 04 Mar 2010, 23:26
por karbiko
El problema que se da con estos cambios es que ya no se reconocen caracteres hispanos, como son las tildes...
O sea, que si haces el cambio {TEXT} por {SIMPLETEXT} o {IDENTIFIER} no vas a poder usar tildes u otros caracteres especiales. Si lo haces, no funcionará ese bbcode...
Si os fijáis, aquí os dejo los caracteres que reconoce cada tipo:
{TEXT} Cualquier texto, incluyendo caracteres extraños, etc. No debería usar esta ficha en etiquetas HTML. Por el contrario intente usar IDENTIFIER o SIMPLETEXT.
{SIMPLETEXT} Caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo
{IDENTIFIER} Carecteres del alfabeto latino (A-Z), números, guión y guión bajo
Es una pena, porque muchos usuarios no se explicarán el por qué no les funciona a ellos y a otros usuarios si....
Saludos
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 06 Mar 2010, 03:18
por mitch
En 3.0.7 apareció un nuevo {TAG} para los BBcodes, ignoro si este lo soluciona, no he tenido tiempo de probarlo.
salu2
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 15 Mar 2010, 19:56
por ThE KuKa
SI añaden un nuevo TAG, y cambiaron parte de la traducción de BBCode personalizados avisando de cierta vulnerabilidad con el tag {TEXT] (creo recordar, que me corrija Huan si meto la pata) es esta parte:
{TEXT} Cualquier texto, incluyendo caracteres extraños, números, etc. No debería usar esta marca clave en etiquetas HTML. En cambio intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 15 Mar 2010, 20:29
por HuanManwe
se ha cambiado algo el texto, en algunas variables:
'BBCODE_DANGER' => 'El BBCode que está intentando añadir parece que usa la marca clave {TEXT} dentro de un atributo HTML. Eso puede traducirse en un agujero de seguridad XSS. Trate de usar en cambio los tipos {SIMPLETEXT} o {INTTEXT} que son más restrictivos. Solo continúe entiende los riesgos que corre y considera el uso de {TEXT} absolutamente inevitable.',
'BBCODE_DANGER_PROCEED' => 'Proceder', //'Entiendo el riesgo',
'TEXT' => 'Cualquier texto, incluyendo caracteres extraños, números, etc. No debería usar esta marca clave en etiquetas HTML. En cambio intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.',
'SIMPLETEXT' => 'Caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo',
'INTTEXT' => 'Letras de caracteres Unicode, números, espacios, comas, puntos, menos, más, guión, guión bajo y espacios en blanco.',
... intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.',
Si alguien intenta aplicar un {TEXT} le salta el aviso, para que no lo use, y se ofrecen alternativas.
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 16 Mar 2010, 05:08
por Makoto
entonce el bbcode de mayor posibilidad de reemplazo seria "INTTEXT"
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 16 Mar 2010, 19:38
por ahh72
pues es raro porque yo actualice mis foro a la version 3.0.6 recien y cambie algunos bbcodes pero el del video solo me aparecia el link dentro del tag del bbcode y ya no funcionaba, podria ser que hay que actualizar el archivo php del bbcode de video tambien para que funcione con ese cambio?
saludos
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 18 Mar 2010, 02:34
por mitch
ahh72 si usas un MOD para los videos, puede que no este actualizado totalmente para esta versión, o que se haya cargado al actualizar y debas "repasar" su instalación.
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 18 Mar 2010, 18:34
por ahh72
tengo los bbcodes que vienen por defecto en la instalacion del mod wysiwyg editor y les agregue algunos mas, pues yo ni idea de como se actualizan esos
a ver si lo pongo en otro tema de consulta y me dan una mano con ello
saludos y gracias mitch
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 02 Abr 2010, 07:22
por ^[GS]^
Tengan mucho cuidado! yo tengo muchos BBCodes personalizados y descubrí que varios eran vulnerables :S
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 11 Abr 2010, 02:55
por Makoto
bueno una pregunta que es lo q sucede si se vulnera la segurida del foro?
mi foro de un dia para otro se puso blanco naa mas u_U
y me comentan q mis amigos q al ingresar al foro (les aparecia =, en blanco) les aparecia un mensaje en el antivirus diciendo q hay un archivo malicioso
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 11 Abr 2010, 03:03
por MR.PABLO
Es verdad lo que dices Makoto de hecho sale lo siguiente:
¿Qué ocurrió cuando Google visitó este sitio?
De las 2 páginas analizadas en el sitio durante los últimos 90 días, 2 página(s) contenía(n) software malicioso que había sido descargado e instalado sin el permiso del usuario. Google visitó este sitio por última vez el 2010-04-09, y se encontró contenido sospechoso en este sitio por última vez el 2010-04-09.
Malicious software includes 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.
El software malicioso se encuentra alojado en 2 dominio(s), entre los que se incluyen aversbonko.com/, computersengines.com/.
Parece que 1 dominio(s) actúa(n) como intermediario(s) en la difusión de software malicioso para los visitantes de este sitio, entre los que se incluyen aversbonko.com/.
This site was hosted on 1 network(s) including AS3595 (GNAXNET).
