Con respecto a la vulnerabilidad de los BBCodes

[mitch]

teto86, cambia el {TEXT} (que aparece 2 veces en el reemplazo bbcode, y que aparece 1 vez en uso de bbcode) por {IDENTIFIER}.

Sobre los demás bbcodes, he estado actualizando el foro de bbcodes de esta web, pero me ha faltado tiempo, espero terminar de revisarlos hoy, junto a otras cosas que tengo pendientes

[teto86]

No se que e hecho mal.. en uso de bbcode e puesto esto.


y en reemplazo html esto:
<center><object width="425" height="350"><param name="movie" value="http://www.youtube.com/v/{IDENTIFIER}"></param><embed src="http://www.youtube.com/v/{IDENTIFIER}" type="application/x-shockwave-flash" width="425" height="350"></embed></object></center>

Y ahora ya no veo los videos... bueno veo los que ya estaban puestos, pero los que pongo nuevos no los puedo ver... no se porque.

[mitch]

Pues a mi me va bien... recuerda poner www.youtube.com y no es.youtube, quizas es eso.

si quieres para ambos, en vez de www.youtube.com debes poner {SIMPLETEXT}.youtube.com

[teto86]

Muchas gracias por la informacion.

[karbiko]

El problema que se da con estos cambios es que ya no se reconocen caracteres hispanos, como son las tildes...

O sea, que si haces el cambio {TEXT} por {SIMPLETEXT} o {IDENTIFIER} no vas a poder usar tildes u otros caracteres especiales. Si lo haces, no funcionará ese bbcode...

Si os fijáis, aquí os dejo los caracteres que reconoce cada tipo:

{TEXT} Cualquier texto, incluyendo caracteres extraños, etc. No debería usar esta ficha en etiquetas HTML. Por el contrario intente usar IDENTIFIER o SIMPLETEXT.
{SIMPLETEXT} Caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo
{IDENTIFIER} Carecteres del alfabeto latino (A-Z), números, guión y guión bajo

Es una pena, porque muchos usuarios no se explicarán el por qué no les funciona a ellos y a otros usuarios si....

Saludos

[mitch]

En 3.0.7 apareció un nuevo {TAG} para los BBcodes, ignoro si este lo soluciona, no he tenido tiempo de probarlo.

salu2

[ThE KuKa]

SI añaden un nuevo TAG, y cambiaron parte de la traducción de BBCode personalizados avisando de cierta vulnerabilidad con el tag {TEXT] (creo recordar, que me corrija Huan si meto la pata) es esta parte:

{TEXT} Cualquier texto, incluyendo caracteres extraños, números, etc. No debería usar esta marca clave en etiquetas HTML. En cambio intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.

[HuanManwe]

se ha cambiado algo el texto, en algunas variables:

Código: Seleccionar todo

	'BBCODE_DANGER'				=> 'El BBCode que está intentando añadir parece que usa la marca clave {TEXT} dentro de un atributo HTML. Eso puede traducirse en un agujero de seguridad XSS. Trate de usar en cambio los tipos {SIMPLETEXT} o {INTTEXT} que son más restrictivos. Solo continúe entiende los riesgos que corre y considera el uso de {TEXT} absolutamente inevitable.',
	'BBCODE_DANGER_PROCEED'		=> 'Proceder', //'Entiendo el riesgo',
	'TEXT'		=> 'Cualquier texto, incluyendo caracteres extraños, números, etc. No debería usar esta marca clave en etiquetas HTML. En cambio intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.',
	'SIMPLETEXT'	=> 'Caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo',
	'INTTEXT'		=> 'Letras de caracteres Unicode, números, espacios, comas, puntos, menos, más, guión, guión bajo y espacios en blanco.',

Originalmente decía cosas como:

Código: Seleccionar todo

... intente usar IDENTIFIER o SIMPLETEXT.',

en vez de

Código: Seleccionar todo

... intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.',

Si alguien intenta aplicar un {TEXT} le salta el aviso, para que no lo use, y se ofrecen alternativas.

[Makoto]

entonce el bbcode de mayor posibilidad de reemplazo seria "INTTEXT"

[ahh72]

pues es raro porque yo actualice mis foro a la version 3.0.6 recien y cambie algunos bbcodes pero el del video solo me aparecia el link dentro del tag del bbcode y ya no funcionaba, podria ser que hay que actualizar el archivo php del bbcode de video tambien para que funcione con ese cambio?

saludos

[mitch]

ahh72 si usas un MOD para los videos, puede que no este actualizado totalmente para esta versión, o que se haya cargado al actualizar y debas "repasar" su instalación.

[ahh72]

tengo los bbcodes que vienen por defecto en la instalacion del mod wysiwyg editor y les agregue algunos mas, pues yo ni idea de como se actualizan esos

a ver si lo pongo en otro tema de consulta y me dan una mano con ello

saludos y gracias mitch

[^[GS]^]

Tengan mucho cuidado! yo tengo muchos BBCodes personalizados y descubrí que varios eran vulnerables :S

[Makoto]

bueno una pregunta que es lo q sucede si se vulnera la segurida del foro?

mi foro de un dia para otro se puso blanco naa mas u_U

y me comentan q mis amigos q al ingresar al foro (les aparecia =, en blanco) les aparecia un mensaje en el antivirus diciendo q hay un archivo malicioso

[MR.PABLO]

Es verdad lo que dices Makoto de hecho sale lo siguiente:

¿Qué ocurrió cuando Google visitó este sitio?
De las 2 páginas analizadas en el sitio durante los últimos 90 días, 2 página(s) contenía(n) software malicioso que había sido descargado e instalado sin el permiso del usuario. Google visitó este sitio por última vez el 2010-04-09, y se encontró contenido sospechoso en este sitio por última vez el 2010-04-09.
Malicious software includes 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

El software malicioso se encuentra alojado en 2 dominio(s), entre los que se incluyen aversbonko.com/, computersengines.com/.

Parece que 1 dominio(s) actúa(n) como intermediario(s) en la difusión de software malicioso para los visitantes de este sitio, entre los que se incluyen aversbonko.com/.

This site was hosted on 1 network(s) including AS3595 (GNAXNET).

Código: Seleccionar todo

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://www.hello-peru.com/&client=googlechrome&hl=es