Recordad que para pedir soporte alguno, debéis facilitar los datos de soporte oportunos por favor, mirad aquí y leer las Normas generales del foro, esto nos servirá de ayuda para dar el mejor soporte..

Gracias.

La Administración de phpBB España.

Con respecto a la vulnerabilidad de los BBCodes

Dudas sobre BBCodes personalizados


0
No hay votos
 
Votos totales: 0

papichulo
Miembro
Mensajes: 231
Registrado: 02 Sep 2008, 21:51

Con respecto a la vulnerabilidad de los BBCodes

#1

Mensaje por papichulo »

Yo utilizo los bbcodes con imagenes de Mitch y Morph. Tengo que cambiar todos los codigos que tengan la expresion "{TEXT}" sin las comillas? Es que noi me quedomuy clarolos que son seguros y los que no ;)

Edición por ThE KuKa

Perdona que escriba aquí, pero así queda explicado el porque de esta duda.

Queridos/as usuarios y usuarias, el tema tiene que ver con este anuncio.

Sigamos esta charla o vulnerabilidad en este tema solamente por favor.

Y perdona la intrusión en tu mensaje papichulo.

Fin de la edición por ThE KuKa

Última edición por Alorse el 03 Feb 2010, 21:54, editado 4 veces en total.
Razón: Edito para cambiar ciertas cosas...


URL: quieroaprender.es
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados:imagenes de bbcodes (tuto de Mitch),Latex ,automod , custombbcodes page, images resize, level bar0.0.1b, 100+bots install script 1.0.0, email on birthday 1.0.0, imageshack mod, Last post title MOD,Site map generator, Smilies page 1.0.3, top 5 sur index, top posters 1.0.0a
Plantilla(s) usada(s):prosilver,subsilver2, x-iphone, x-static (por defecto, x-iphone)
Servidor: linux gratuito
Actualización desde otra versión: si, desde la 3.0.2, a través de la 3.0.3 , 3.0.4 y 3.0.5
Conversión desde otro sistema de foros: No


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
invi
Ex Staff
Mensajes: 2550
Registrado: 14 Ene 2006, 16:25
Género:
Edad: 34

Re: con respecto a la bulnerabilidad delos bbcodes

#2

Mensaje por invi »

No, solo lo debes cambiar en aquellos BBCodes que se utilice .HTML. Y que eso esté dentro de ello.
Un ejemplo ya lo puso Kuka, es cuestion de que reviseis los BBCode que teneis instalados en el foro, y que si tienen eso pongais otra cosa que esa variable.
Existen dos tipos de individuos, los que saben y los que no.


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
papichulo
Miembro
Mensajes: 231
Registrado: 02 Sep 2008, 21:51

Re: con respecto a la bulnerabilidad delos bbcodes

#3

Mensaje por papichulo »

Gracias, a ver si lo consigo ;)
URL: quieroaprender.es
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados:imagenes de bbcodes (tuto de Mitch),Latex ,automod , custombbcodes page, images resize, level bar0.0.1b, 100+bots install script 1.0.0, email on birthday 1.0.0, imageshack mod, Last post title MOD,Site map generator, Smilies page 1.0.3, top 5 sur index, top posters 1.0.0a
Plantilla(s) usada(s):prosilver,subsilver2, x-iphone, x-static (por defecto, x-iphone)
Servidor: linux gratuito
Actualización desde otra versión: si, desde la 3.0.2, a través de la 3.0.3 , 3.0.4 y 3.0.5
Conversión desde otro sistema de foros: No


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
nextgen
Ex Staff
Mensajes: 1724
Registrado: 25 Jul 2009, 03:16
Género:
Edad: 37

Re: con respecto a la vulnerabilidad de los bbcodes

#4

Mensaje por nextgen »

invi escribió:No, solo lo debes cambiar en aquellos BBCodes que se utilice .HTML. Y que eso esté dentro de ello.
Un ejemplo ya lo puso Kuka, es cuestion de que reviseis los BBCode que teneis instalados en el foro, y que si tienen eso pongais otra cosa que esa variable.
Seria vurnerable esta expresion >>"{Text}"<< dentro del HTML?
No seria vurnerable asi <div style="center">{TEXT}</div> ?, osea que no este dentro de la funcion del HTML.

Si estoy equivocado que alguien me explicara.

Saludos...

Edito: el codigo para ver los video de Youtube tendria alguna vurnerabilidad?

Código: Seleccionar todo

<div style="padding: 3px; background-color: #FFFFFF; border: 1px solid #d8d8d8; font-size: 1em;"><div style="text-transform: uppercase; border-bottom: 1px solid #CCCCCC; margin-bottom: 3px; font-size: 0.8em; font-weight: bold; display: block;"><span onClick="if (this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display != '') {  this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display = ''; this.innerHTML = '<b>Spoiler: </b><a href=\'#\' onClick=\'return false;\'>Ocultar</a>'; } else { this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display = 'none'; this.innerHTML = '<b>Spoiler: </b><a href=\'#\' onClick=\'return false;\'>Mostrar</a>'; }" /><b>Spoiler: </b><a href="#" onClick="return false;">Mostrar</a></span></div><div class="quotecontent"><div style="display: none;">{TEXT}</div></div></div>

Iniciando desde cero...



Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
invi
Ex Staff
Mensajes: 2550
Registrado: 14 Ene 2006, 16:25
Género:
Edad: 34

Re: con respecto a la bulnerabilidad delos bbcodes

#5

Mensaje por invi »

La vulnerabilidad solo existe si va dentro del .HTML. Como se ha explicado en el tema que puso kuka, y que si quereis mas información visitar los links que se han proporcionado.

<div style="center">{TEXT}</div>

Donde está el center, si pones {TEXT} entonces es cuando estás haciendo vulnerable tu foro.

Y en el código que acabas de mostrar, no veo peligrosidad alguna, de todos modos, la mejor forma de aseguraros de cualos podrían hacerlo vulnerable y cualos no, es visitando las webs de donde los habéis sacado.
Existen dos tipos de individuos, los que saben y los que no.


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
nextgen
Ex Staff
Mensajes: 1724
Registrado: 25 Jul 2009, 03:16
Género:
Edad: 37

Re: con respecto a la bulnerabilidad delos bbcodes

#6

Mensaje por nextgen »

Ok ya te entendi entonces... ps bueno me tocara actualizar los bbcodes... :D

Iniciando desde cero...



Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
papichulo
Miembro
Mensajes: 231
Registrado: 02 Sep 2008, 21:51

Re: con respecto a la bulnerabilidad delos bbcodes

#7

Mensaje por papichulo »

Creo que ya lo he solucionado, si me equivoco que alguien me corrija ;)
El truco está en sustituir la expresion "{TEXT]" cuando va entre los tags "<" y ">" sin las comillas (y la correspondiente en la expresion bbcode, porque si no no se llamaria correctamente al script html) Saludos ;)
URL: quieroaprender.es
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados:imagenes de bbcodes (tuto de Mitch),Latex ,automod , custombbcodes page, images resize, level bar0.0.1b, 100+bots install script 1.0.0, email on birthday 1.0.0, imageshack mod, Last post title MOD,Site map generator, Smilies page 1.0.3, top 5 sur index, top posters 1.0.0a
Plantilla(s) usada(s):prosilver,subsilver2, x-iphone, x-static (por defecto, x-iphone)
Servidor: linux gratuito
Actualización desde otra versión: si, desde la 3.0.2, a través de la 3.0.3 , 3.0.4 y 3.0.5
Conversión desde otro sistema de foros: No


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: con respecto a la bulnerabilidad delos bbcodes

#8

Mensaje por mitch »

Correcto.. hoy pienso actualizar los bbcodes de mi modificación y dentro de lo que me de el tiempo, revisar los publicados en el foro de bbcodes.


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
papichulo
Miembro
Mensajes: 231
Registrado: 02 Sep 2008, 21:51

Re: con respecto a la bulnerabilidad delos bbcodes

#9

Mensaje por papichulo »

Gracias Mitch, por la aclaración y por tus magnificos tutos que me sirven mucho siempre ;)
URL: quieroaprender.es
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados:imagenes de bbcodes (tuto de Mitch),Latex ,automod , custombbcodes page, images resize, level bar0.0.1b, 100+bots install script 1.0.0, email on birthday 1.0.0, imageshack mod, Last post title MOD,Site map generator, Smilies page 1.0.3, top 5 sur index, top posters 1.0.0a
Plantilla(s) usada(s):prosilver,subsilver2, x-iphone, x-static (por defecto, x-iphone)
Servidor: linux gratuito
Actualización desde otra versión: si, desde la 3.0.2, a través de la 3.0.3 , 3.0.4 y 3.0.5
Conversión desde otro sistema de foros: No


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
ThE KuKa
Administrador
Mensajes: 9543
Registrado: 04 Ene 2004, 19:27
Género:
Edad: 46

Re: Con respecto a la vulnerabilidad de los BBCodes

#10

Mensaje por ThE KuKa »

Acabo de editar el primer mensaje...

📌 Raul [ThE KuKa] en phpBB 📌
✅ Jr. Extension Validator - Jr. Styles Validator - Style Customisations - Translator - International Support Team
✅

Si te gustan mis estilos, traducciones, etc. y quieres mostrar algo de aprecio, no dudes en hacer una donación Imagen
:flag_es: phpBB España - En línea desde 2003 :heart:




Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: Con respecto a la vulnerabilidad de los BBCodes

#11

Mensaje por mitch »

Ya he actualizado los BBcodes del mod de bbcodes por imagenes, para los que lo tengan instalado ;) deje un aviso en ese tema también.

Dentro de lo que el tiempo me de, intentaré ir revisando el foro de BBcodes. El que tenga alguna pregunta o dato de bbcode publicado erroneo pues que lo indique ;)

salu2


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
ThE KuKa
Administrador
Mensajes: 9543
Registrado: 04 Ene 2004, 19:27
Género:
Edad: 46

Re: Con respecto a la vulnerabilidad de los BBCodes

#12

Mensaje por ThE KuKa »

Gracias Mitch, en un principio parecía una vulnerabilidad "leve" pero si parece ser mas grave de lo que parecía, ademas reemplazando una palabra, nos curamos en salud, y ante la duda, es preferible eliminar un BBCode, que "jugársela" con un foro completo.

S@lu2

📌 Raul [ThE KuKa] en phpBB 📌
✅ Jr. Extension Validator - Jr. Styles Validator - Style Customisations - Translator - International Support Team
✅

Si te gustan mis estilos, traducciones, etc. y quieres mostrar algo de aprecio, no dudes en hacer una donación Imagen
:flag_es: phpBB España - En línea desde 2003 :heart:




Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
papichulo
Miembro
Mensajes: 231
Registrado: 02 Sep 2008, 21:51

Re: Con respecto a la vulnerabilidad de los BBCodes

#13

Mensaje por papichulo »

gracias Mitch por el curreloque te pegas, en cuanto a la edición del post, es normal que se haga, porque así queda la cosa clara. Gracias a los dos Mitch y The KuKa ;)
URL: quieroaprender.es
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados:imagenes de bbcodes (tuto de Mitch),Latex ,automod , custombbcodes page, images resize, level bar0.0.1b, 100+bots install script 1.0.0, email on birthday 1.0.0, imageshack mod, Last post title MOD,Site map generator, Smilies page 1.0.3, top 5 sur index, top posters 1.0.0a
Plantilla(s) usada(s):prosilver,subsilver2, x-iphone, x-static (por defecto, x-iphone)
Servidor: linux gratuito
Actualización desde otra versión: si, desde la 3.0.2, a través de la 3.0.3 , 3.0.4 y 3.0.5
Conversión desde otro sistema de foros: No


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
Vlad
Miembro
Mensajes: 200
Registrado: 24 Sep 2009, 22:27
Edad: 33

Re: Con respecto a la vulnerabilidad de los BBCodes

#14

Mensaje por Vlad »

Gracias por el anuncio the kuka y tambien a mitch por la modificacion del los bbcodes del mod.

Saludos
Spoiler
URL:
http://www.foroligamx.com
Versión phpBB:
phpBB3 3.0.11
MODs Instalados:
Aumentar límite de carácteres del título de los Temas
aos topic statistics 1.0.5
nv advanced last topic titles 1.3.3
Advanced Rules Page 1.0.0
BBcode Buttons on Quick Reply 1.1.0
Topic SEO description and keywords mod 1.0.6
Ultimate Points 1.1.2
Mods Database v 1.0.7
phpBB3 football 0.9.3
IPs for Admin Only 1.0.1
Sortables CAPTCHA 1.0.4
Quitar "Viendo Tema" y "Viendo Foro" del título
usuario de pruebas:
user: user
pass: usertest

Plantilla(s) usada(s):
Absolution 1.1.1, basada en prosilver
Servidor:
Linux, de pago
Actualización desde otra versión:
No
Conversión desde otro sistema de foros:
No


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje
Avatar de Usuario
teto86
Miembro
Mensajes: 219
Registrado: 29 Ene 2010, 12:31
Edad: 34

Re: Con respecto a la vulnerabilidad de los BBCodes

#15

Mensaje por teto86 »

No termino de enterlo... yo de momento solo tengo este bbcode, que es para poder ver los videos de youtube, pero es muy largo y me hago un lio....(teniendo en cuenta que soy muy nuevo en esto y me parecen solo un monton de numeros)

<center><object width="425" height="350"><param name="movie" value="http://www.youtube.com/v/{TEXT}"></param><embed src="http://www.youtube.com/v/{TEXT}" type="application/x-shockwave-flash" width="425" height="350"></embed></object></center>

Cual seria la edicion para no hacerlo vulnerable? o este codigo ya no lo es de por si... :nolose:

Muchas gracias.
Spoiler
URL Principal: http://www.clubrenaultgt.com/foro
URL de pruebas: http://www.clubrenaultgt.com/foropruebas
Versión phpBB: phpBB3 (3.0.11)
MODs Instalados:
mensajes en el indice del foro
El servidor de imagenes
bbcode youtube
abrir enlace en otra ventana
que se abran enlaces en otra pestaña.
Redimensionado de imagenes automatico.
Mod para ocultar enlaces a los invitados.
advanced visual anti bot.
Plantilla(s) usada(s):estilo Aero (prosilver)
Servidor: http://www.evalice.com de pago (Bajo Linux)
Actualización desde otra versión: Si, de 3.0.6 a 3.0.8: de 3.0.8 a 3.0.9: de 3.0.9 a 3.0.10: de 3.0.10 a 3.0.11
Conversión desde otro sistema de foros: no


Enlace:
BBCode:
HTML:

Ocultar enlaces al mensaje
Mostrar enlaces al mensaje

Volver a “❓ Dudas sobre BBCode”