Página 1 de 3
Con respecto a la vulnerabilidad de los BBCodes
Publicado: 03 Feb 2010, 21:54
por papichulo
Yo utilizo los bbcodes con imagenes de Mitch y Morph. Tengo que cambiar todos los codigos que tengan la expresion "{TEXT}" sin las comillas? Es que noi me quedomuy clarolos que son seguros y los que no
Edición por ThE KuKa
Perdona que escriba aquí, pero así queda explicado el porque de esta duda.
Queridos/as usuarios y usuarias, el tema tiene que ver con
este anuncio.
Sigamos esta charla o vulnerabilidad en este tema solamente por favor.
Y perdona la intrusión en tu mensaje
papichulo.
Fin de la edición por ThE KuKa
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 03 Feb 2010, 22:07
por invi
No, solo lo debes cambiar en aquellos BBCodes que se utilice .HTML. Y que eso esté dentro de ello.
Un ejemplo ya lo puso Kuka, es cuestion de que reviseis los BBCode que teneis instalados en el foro, y que si tienen eso pongais otra cosa que esa variable.
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 03 Feb 2010, 22:17
por papichulo
Gracias, a ver si lo consigo
Re: con respecto a la vulnerabilidad de los bbcodes
Publicado: 03 Feb 2010, 22:55
por nextgen
invi escribió:No, solo lo debes cambiar en aquellos BBCodes que se utilice .HTML. Y que eso esté dentro de ello.
Un ejemplo ya lo puso Kuka, es cuestion de que reviseis los BBCode que teneis instalados en el foro, y que si tienen eso pongais otra cosa que esa variable.
Seria vurnerable esta expresion >>"{Text}"<< dentro del HTML?
No seria vurnerable asi <div style="center">{TEXT}</div> ?, osea que no este dentro de la funcion del HTML.
Si estoy equivocado que alguien me explicara.
Saludos...
Edito: el codigo para ver los video de Youtube tendria alguna vurnerabilidad?
Código: Seleccionar todo
<div style="padding: 3px; background-color: #FFFFFF; border: 1px solid #d8d8d8; font-size: 1em;"><div style="text-transform: uppercase; border-bottom: 1px solid #CCCCCC; margin-bottom: 3px; font-size: 0.8em; font-weight: bold; display: block;"><span onClick="if (this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display != '') { this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display = ''; this.innerHTML = '<b>Spoiler: </b><a href=\'#\' onClick=\'return false;\'>Ocultar</a>'; } else { this.parentNode.parentNode.getElementsByTagName('div')[1].getElementsByTagName('div')[0].style.display = 'none'; this.innerHTML = '<b>Spoiler: </b><a href=\'#\' onClick=\'return false;\'>Mostrar</a>'; }" /><b>Spoiler: </b><a href="#" onClick="return false;">Mostrar</a></span></div><div class="quotecontent"><div style="display: none;">{TEXT}</div></div></div>
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 03 Feb 2010, 23:57
por invi
La vulnerabilidad solo existe si va dentro del .HTML. Como se ha explicado en el tema que puso kuka, y que si quereis mas información visitar los links que se han proporcionado.
<div style="center">{TEXT}</div>
Donde está el
center, si pones {TEXT} entonces es cuando estás haciendo vulnerable tu foro.
Y en el código que acabas de mostrar, no veo peligrosidad alguna, de todos modos, la mejor forma de aseguraros de cualos podrían hacerlo vulnerable y cualos no, es visitando las webs de donde los habéis sacado.
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 04 Feb 2010, 00:08
por nextgen
Ok ya te entendi entonces... ps bueno me tocara actualizar los bbcodes...
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 04 Feb 2010, 17:22
por papichulo
Creo que ya lo he solucionado, si me equivoco que alguien me corrija
El truco está en sustituir la expresion "{TEXT]" cuando va entre los tags "<" y ">" sin las comillas (y la correspondiente en la expresion bbcode, porque si no no se llamaria correctamente al script html) Saludos
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 04 Feb 2010, 17:38
por mitch
Correcto.. hoy pienso actualizar los bbcodes de mi modificación y dentro de lo que me de el tiempo, revisar los publicados en el foro de bbcodes.
Re: con respecto a la bulnerabilidad delos bbcodes
Publicado: 04 Feb 2010, 17:47
por papichulo
Gracias Mitch, por la aclaración y por tus magnificos tutos que me sirven mucho siempre
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 04 Feb 2010, 18:58
por ThE KuKa
Acabo de editar el primer mensaje...
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 04 Feb 2010, 21:07
por mitch
Ya he actualizado los BBcodes del mod de bbcodes por imagenes, para los que lo tengan instalado
deje un aviso en ese tema también.
Dentro de lo que el tiempo me de, intentaré ir revisando el foro de BBcodes. El que tenga alguna pregunta o dato de bbcode publicado erroneo pues que lo indique
salu2
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 05 Feb 2010, 20:16
por ThE KuKa
Gracias Mitch, en un principio parecía una vulnerabilidad "leve" pero si parece ser mas grave de lo que parecía, ademas reemplazando una palabra, nos curamos en salud, y ante la duda, es preferible eliminar un BBCode, que "jugársela" con un foro completo.
S@lu2
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 05 Feb 2010, 23:09
por papichulo
gracias Mitch por el curreloque te pegas, en cuanto a la edición del post, es normal que se haga, porque así queda la cosa clara. Gracias a los dos Mitch y The KuKa
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 05 Feb 2010, 23:51
por Vlad
Gracias por el anuncio the kuka y tambien a mitch por la modificacion del los bbcodes del mod.
Saludos
Re: Con respecto a la vulnerabilidad de los BBCodes
Publicado: 08 Feb 2010, 12:47
por teto86
No termino de enterlo... yo de momento solo tengo este bbcode, que es para poder ver los videos de youtube, pero es muy largo y me hago un lio....(teniendo en cuenta que soy muy nuevo en esto y me parecen solo un monton de numeros)
<center><object width="425" height="350"><param name="movie" value="
http://www.youtube.com/v/{TEXT}"></param><embed src="
http://www.youtube.com/v/{TEXT}" type="application/x-shockwave-flash" width="425" height="350"></embed></object></center>
Cual seria la edicion para no hacerlo vulnerable? o este codigo ya no lo es de por si...
Muchas gracias.