Recordad que para pedir soporte alguno, debéis facilitar los datos de soporte oportunos por favor, mirad aquí y leer las Normas generales del foro, esto nos servirá de ayuda para dar el mejor soporte..

Gracias.

La Administración de phpBB España.

Con respecto a la vulnerabilidad de los BBCodes

Dudas sobre BBCodes personalizados


0
No hay votos
 
Votos totales: 0

Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: Con respecto a la vulnerabilidad de los BBCodes

#16

Mensaje por mitch »

teto86, cambia el {TEXT} (que aparece 2 veces en el reemplazo bbcode, y que aparece 1 vez en uso de bbcode) por {IDENTIFIER}.

Sobre los demás bbcodes, he estado actualizando el foro de bbcodes de esta web, pero me ha faltado tiempo, espero terminar de revisarlos hoy, junto a otras cosas que tengo pendientes ;)


Avatar de Usuario
teto86
Miembro
Mensajes: 219
Registrado: 29 Ene 2010, 12:31
Edad: 34

Re: Con respecto a la vulnerabilidad de los BBCodes

#17

Mensaje por teto86 »

No se que e hecho mal.. en uso de bbcode e puesto esto.


y en reemplazo html esto:
<center><object width="425" height="350"><param name="movie" value="http://www.youtube.com/v/{IDENTIFIER}"></param><embed src="http://www.youtube.com/v/{IDENTIFIER}" type="application/x-shockwave-flash" width="425" height="350"></embed></object></center>

Y ahora ya no veo los videos... bueno veo los que ya estaban puestos, pero los que pongo nuevos no los puedo ver... no se porque.
Spoiler
URL Principal: http://www.clubrenaultgt.com/foro
URL de pruebas: http://www.clubrenaultgt.com/foropruebas
Versión phpBB: phpBB3 (3.0.11)
MODs Instalados:
mensajes en el indice del foro
El servidor de imagenes
bbcode youtube
abrir enlace en otra ventana
que se abran enlaces en otra pestaña.
Redimensionado de imagenes automatico.
Mod para ocultar enlaces a los invitados.
advanced visual anti bot.
Plantilla(s) usada(s):estilo Aero (prosilver)
Servidor: http://www.evalice.com de pago (Bajo Linux)
Actualización desde otra versión: Si, de 3.0.6 a 3.0.8: de 3.0.8 a 3.0.9: de 3.0.9 a 3.0.10: de 3.0.10 a 3.0.11
Conversión desde otro sistema de foros: no
Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: Con respecto a la vulnerabilidad de los BBCodes

#18

Mensaje por mitch »

Pues a mi me va bien... recuerda poner www.youtube.com y no es.youtube, quizas es eso.

si quieres para ambos, en vez de www.youtube.com debes poner {SIMPLETEXT}.youtube.com
Avatar de Usuario
teto86
Miembro
Mensajes: 219
Registrado: 29 Ene 2010, 12:31
Edad: 34

Re: Con respecto a la vulnerabilidad de los BBCodes

#19

Mensaje por teto86 »

Muchas gracias por la informacion.
Spoiler
URL Principal: http://www.clubrenaultgt.com/foro
URL de pruebas: http://www.clubrenaultgt.com/foropruebas
Versión phpBB: phpBB3 (3.0.11)
MODs Instalados:
mensajes en el indice del foro
El servidor de imagenes
bbcode youtube
abrir enlace en otra ventana
que se abran enlaces en otra pestaña.
Redimensionado de imagenes automatico.
Mod para ocultar enlaces a los invitados.
advanced visual anti bot.
Plantilla(s) usada(s):estilo Aero (prosilver)
Servidor: http://www.evalice.com de pago (Bajo Linux)
Actualización desde otra versión: Si, de 3.0.6 a 3.0.8: de 3.0.8 a 3.0.9: de 3.0.9 a 3.0.10: de 3.0.10 a 3.0.11
Conversión desde otro sistema de foros: no
Avatar de Usuario
karbiko
Moderador
Mensajes: 715
Registrado: 27 Jun 2008, 22:44
Género:
Edad: 53

Re: Con respecto a la vulnerabilidad de los BBCodes

#20

Mensaje por karbiko »

El problema que se da con estos cambios es que ya no se reconocen caracteres hispanos, como son las tildes...

O sea, que si haces el cambio {TEXT} por {SIMPLETEXT} o {IDENTIFIER} no vas a poder usar tildes u otros caracteres especiales. Si lo haces, no funcionará ese bbcode...

Si os fijáis, aquí os dejo los caracteres que reconoce cada tipo:

{TEXT} Cualquier texto, incluyendo caracteres extraños, etc. No debería usar esta ficha en etiquetas HTML. Por el contrario intente usar IDENTIFIER o SIMPLETEXT.
{SIMPLETEXT} Caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo
{IDENTIFIER} Carecteres del alfabeto latino (A-Z), números, guión y guión bajo

Es una pena, porque muchos usuarios no se explicarán el por qué no les funciona a ellos y a otros usuarios si....

Saludos

URL: https://www.fororegistrocivil.es
Demás datos:

Spoiler

Estilos instalados(s): prosilver, Prosilver Dark Edition, prosilver special edition, proflat (en varios colores), Orange_BBEs
Versión instalada: 3.3.0
Extensiones:

Spoiler

24 hour activity stats 1.0.9
Add Bot 1.0.1
Add User 1.0.4
Advanced BBCode Box 3.2.2
Advanced Profile Fields Pack 1.0.3
Advertisement Management 2.0.3
Ajax Base 2.0.0
AJAX Registration Check 1.0.1
[3.2][3.3][RC] Auto db Backup
Auto Drafts 1.1.3
Avatar resize 1.0.0-RC
Avatars on Memberlist 2.0.0
Ban Hammer 1.0.8
Birthday Cake 1.0.2
Blinking counter, for new pm and new notify 1.0.5
Board Announcements 1.1.0
Board Notices Manager 0.5.5
Board Rules 2.1.2
Breadcrumb Menu 1.0.6
Breizh Ajax Preview 1.1.0
Browse Happy 2.0.2-dev
Browser & OS in Viewtopic 1.0.1
cBB Blockgets 2.0.1
cBB Chat 1.2.1
cBB QuickMod 1.1.2
Clipboard Image 2.0.1
Collapsible Forum Categories 2.0.0
Confirm Email 1.0.0
Copyright in footer 1.0.2
Database Optimize & Repair Tool 1.2.0
Default Avatar Extended 1.2.2
Delete My Account 1.0.0
Detailed viewonline 1.0.0
[3.2][3.3][RC] Dropbox Upload for Auto db Backup
email on birthday 3.1.6
Email List 1.0.2
Extensions .yml check
External Links Open in New Window 1.0.6
File Upload 1.0.3
[3.3][RC] Filter by country 1.0.16
Forumhulp Helper 3.1.15
Genders 1.1.1
gn36 - Customize first post edit permissions 1.2.2
Google Analytics 1.0.5
Google Translator 1.0.3
Group Template Variables
Header Banner 3.2.2
Hide Avatar for guests 1.0.1
Hide Bots 1.0.2
[3.2] [RC] Hide Profile Fields to Groups
HTML email 3.1.7
Imgur 1.6.0
Individual posts per page 1.0.1
Large Font 3.2.3
Last Post Avatar 1.0.3
LF Who Was Here 2 2.0.0
Lightbox 2.0.2
LMDI Autolinks 1.3.3
LMDI My Topics 1.0.12
Linked Accounts 2.1.1
List subforums in columns 2.1.0
Live topic update 1.0.2
Logout Redirect 1.0.1
Magic OGP parser 1.0.6
Mark Post Unread 1.1.1
Mass Notification 1.0.4
Missing files
National Flags 2.1.7
No Custom Profile for guests 1.0.2
No DEA Emails
No Notice Delete PM 1.0.0
No quote last post 1.0.7
Notes 2.0.0
Pages
Page Scrolling 1.4.0
Password Generator
Password Strength 1.2.3
PayPal Donation Extension 2.1.4
phpBB3 SEO Sitemap 1.1.1
phpBB Media Embed PlugIn 1.1.1
phpBB Studio - Google PDF autoembed 1.0.3
PM Name Suggestions 1.1.3
Poster IP in Viewtopic 1.0.2
Posts merging 2.1.1-dev
Precise Similar Topics 1.5.3
Previous / Next topic 1.0.3
Prime note bbcode 1.1.1
Prime Post Revisions 1.0.0-beta9
Prime User Topics
Profile Field Searchable 1.0.5 Extensión de pago
QuickReply Reloaded 2.0.0-beta4
Quick Style 1.3.5
Quoted where 1.0.3
Red title for new topic and new reply 1.0.3
Remember me checked by default 1.0.0
Remove hidden users 0.1.0
Reset login attempts 1.0.2
Right Header Image 3.2.2
Scroll quoted text
[3.3][RC] Selective mass emails 1.0.10
SEO Metadata 1.3.0
Seo Meta Description 1.0.0
Share On 2.0.1
Simple mentions 1.0.5
Simple Spoiler BBCode 2.0.0
Smartfeed 3.0.13
Smart Subjects 1.0.0
Smilie Signs 1.0.2
smilies scroll box 1.0.3
Sortables Captcha 2.0.2
Stop Forum Spam 1.1.9
Subscribe topic in footer
Tabbed stat-block 1.0.2
Tables 2.1.2
Telegram Share 0.1.0-b1. Descargable desde este enlace
Thanks for posts 2.0.7
Topic Author 1.0.4
Topic Description 1.0.4
Topic Preview 2.3.2
Topics Hierarchy 2.1.0
Unique Visits Counter 1.0.3
Upload Extensions 3.2.0-RC, con esta actualización para 3.3.0
User Merge 1.0.4
Username Or Email Password Reset 0.1.0
User Posts in a Topic 1.0.1
User Recent Activity 2.1.1
Whatsapp Share 0.1.0-b1. Descargable desde este enlace
Who Visited This Topic 1.0.7
Who Visited This Topic 0.1.0-RC4.1. Descargable desde este enlace
You Me We Us Filter 1.0.1

Servidor: VPS OVH Linux Debian 10
Versión PHP: 7.3.17-1+0~20200419.57
BBDD: MySQL(i) 10.3.22-MariaDB-0+deb10u1
Actualización: Nueva, con bbdd desde 3.2.8

Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: Con respecto a la vulnerabilidad de los BBCodes

#21

Mensaje por mitch »

En 3.0.7 apareció un nuevo {TAG} para los BBcodes, ignoro si este lo soluciona, no he tenido tiempo de probarlo.

salu2
Avatar de Usuario
ThE KuKa
Administrador
Mensajes: 9552
Registrado: 04 Ene 2004, 19:27
Género:
Edad: 46

Re: Con respecto a la vulnerabilidad de los BBCodes

#22

Mensaje por ThE KuKa »

SI añaden un nuevo TAG, y cambiaron parte de la traducción de BBCode personalizados avisando de cierta vulnerabilidad con el tag {TEXT] (creo recordar, que me corrija Huan si meto la pata) es esta parte:
{TEXT} Cualquier texto, incluyendo caracteres extraños, números, etc. No debería usar esta marca clave en etiquetas HTML. En cambio intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.

📌 Raul [ThE KuKa] en phpBB 📌
✅ Jr. Extension Validator - Jr. Styles Validator - Style Customisations - Translator - International Support Team
✅

Si te gustan mis estilos, traducciones, etc. y quieres mostrar algo de aprecio, no dudes en hacer una donación Imagen
:flag_es: phpBB España - En línea desde 2003 :heart:


Avatar de Usuario
HuanManwe
Ex Staff
Mensajes: 5078
Registrado: 20 Jun 2006, 18:21
Género:
Edad: 47

Re: Con respecto a la vulnerabilidad de los BBCodes

#23

Mensaje por HuanManwe »

se ha cambiado algo el texto, en algunas variables:

Código: Seleccionar todo

	'BBCODE_DANGER'				=> 'El BBCode que está intentando añadir parece que usa la marca clave {TEXT} dentro de un atributo HTML. Eso puede traducirse en un agujero de seguridad XSS. Trate de usar en cambio los tipos {SIMPLETEXT} o {INTTEXT} que son más restrictivos. Solo continúe entiende los riesgos que corre y considera el uso de {TEXT} absolutamente inevitable.',
	'BBCODE_DANGER_PROCEED'		=> 'Proceder', //'Entiendo el riesgo',
	'TEXT'		=> 'Cualquier texto, incluyendo caracteres extraños, números, etc. No debería usar esta marca clave en etiquetas HTML. En cambio intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.',
	'SIMPLETEXT'	=> 'Caracteres del alfabeto latino (A-Z), números, espacios, comas, puntos, menos, más, guión y guión bajo',
	'INTTEXT'		=> 'Letras de caracteres Unicode, números, espacios, comas, puntos, menos, más, guión, guión bajo y espacios en blanco.',
Originalmente decía cosas como:

Código: Seleccionar todo

... intente usar IDENTIFIER o SIMPLETEXT.',
en vez de

Código: Seleccionar todo

... intente usar IDENTIFIER, INTTEXT o SIMPLETEXT.',
Si alguien intenta aplicar un {TEXT} le salta el aviso, para que no lo use, y se ofrecen alternativas.

Der Mensch schuf Gott nach seinem eigenen Bild

Berlín siempre estará en mi corazón. Auf wiedersehen, Berlin!!

Avatar de Usuario
Makoto
Elite
Mensajes: 2929
Registrado: 10 Sep 2009, 23:44
Género:
Edad: 32

Re: Con respecto a la vulnerabilidad de los BBCodes

#24

Mensaje por Makoto »

entonce el bbcode de mayor posibilidad de reemplazo seria "INTTEXT"
URL del foro: FIIS-UNAC
Versión phpBB: phpBB3 ( 3.1.5)
Extensiones Instaladas
SPOILER_SHOW
  • Add User 1.0.2
  • Auto Database Backup 1.1.0
  • Auto Groups 1.0.0
  • Avatars on Memberlist 1.0.3
  • Board Announcements 1.0.2
  • Board Rules 1.0.1
  • cBB Chat 1.1.1
  • Fancy Lazy Topics loader 2.1.5
  • Genders 1.0.0
  • Last Post Avatar
  • Log failed logins
  • Rank Post Styling
  • Share On 1.0.0
  • SiteSplat BBCore 2.1.1
  • Sortables Captcha 2.0.0
  • Topic Author 1.0.1
  • Upload Extensions 3.1.2-beta2
Plantilla(s) usada(s):
  • FLATBOOTS 2.0.1
Servidor: Dattatec[/size]
Avatar de Usuario
ahh72
Ex Staff
Mensajes: 3837
Registrado: 29 Dic 2008, 17:28
Género:
Edad: 48

Re: Con respecto a la vulnerabilidad de los BBCodes

#25

Mensaje por ahh72 »

pues es raro porque yo actualice mis foro a la version 3.0.6 recien y cambie algunos bbcodes pero el del video solo me aparecia el link dentro del tag del bbcode y ya no funcionaba, podria ser que hay que actualizar el archivo php del bbcode de video tambien para que funcione con ese cambio?

saludos
Datos de Soporte:
- URL del Foro: http://www.peruvoley.com/foro
- Hosting donde está alojada: http://www.rogohosting.com
- Versión del foro: 3.1.9
- Estilo: prosilver
- Mods Instalados:

Guias de ayuda:
Guia para corregir el copyright en foros phpBB3

Avatar de Usuario
mitch
Ex Staff
Mensajes: 4260
Registrado: 04 Sep 2005, 04:28
Género:

Re: Con respecto a la vulnerabilidad de los BBCodes

#26

Mensaje por mitch »

ahh72 si usas un MOD para los videos, puede que no este actualizado totalmente para esta versión, o que se haya cargado al actualizar y debas "repasar" su instalación.
Avatar de Usuario
ahh72
Ex Staff
Mensajes: 3837
Registrado: 29 Dic 2008, 17:28
Género:
Edad: 48

Re: Con respecto a la vulnerabilidad de los BBCodes

#27

Mensaje por ahh72 »

tengo los bbcodes que vienen por defecto en la instalacion del mod wysiwyg editor y les agregue algunos mas, pues yo ni idea de como se actualizan esos :lol:

a ver si lo pongo en otro tema de consulta y me dan una mano con ello :roll:

saludos y gracias mitch
Datos de Soporte:
- URL del Foro: http://www.peruvoley.com/foro
- Hosting donde está alojada: http://www.rogohosting.com
- Versión del foro: 3.1.9
- Estilo: prosilver
- Mods Instalados:

Guias de ayuda:
Guia para corregir el copyright en foros phpBB3

^[GS]^
Observador/a
Mensajes: 5
Registrado: 30 Mar 2010, 10:37

Re: Con respecto a la vulnerabilidad de los BBCodes

#28

Mensaje por ^[GS]^ »

Tengan mucho cuidado! yo tengo muchos BBCodes personalizados y descubrí que varios eran vulnerables :S
URL: http://www.gs-zone.org
Versión phpBB: phpBB3 (-)
MODs Instalados: -
Plantilla(s) usada(s): -
Servidor: -
Actualización desde otra versión: -
Conversión desde otro sistema de foros: -
Avatar de Usuario
Makoto
Elite
Mensajes: 2929
Registrado: 10 Sep 2009, 23:44
Género:
Edad: 32

Re: Con respecto a la vulnerabilidad de los BBCodes

#29

Mensaje por Makoto »

bueno una pregunta que es lo q sucede si se vulnera la segurida del foro?

mi foro de un dia para otro se puso blanco naa mas u_U

y me comentan q mis amigos q al ingresar al foro (les aparecia =, en blanco) les aparecia un mensaje en el antivirus diciendo q hay un archivo malicioso
URL del foro: FIIS-UNAC
Versión phpBB: phpBB3 ( 3.1.5)
Extensiones Instaladas
SPOILER_SHOW
  • Add User 1.0.2
  • Auto Database Backup 1.1.0
  • Auto Groups 1.0.0
  • Avatars on Memberlist 1.0.3
  • Board Announcements 1.0.2
  • Board Rules 1.0.1
  • cBB Chat 1.1.1
  • Fancy Lazy Topics loader 2.1.5
  • Genders 1.0.0
  • Last Post Avatar
  • Log failed logins
  • Rank Post Styling
  • Share On 1.0.0
  • SiteSplat BBCore 2.1.1
  • Sortables Captcha 2.0.0
  • Topic Author 1.0.1
  • Upload Extensions 3.1.2-beta2
Plantilla(s) usada(s):
  • FLATBOOTS 2.0.1
Servidor: Dattatec[/size]
MR.PABLO
Ex Staff
Mensajes: 530
Registrado: 30 Jul 2009, 17:34
Edad: 33

Re: Con respecto a la vulnerabilidad de los BBCodes

#30

Mensaje por MR.PABLO »

Es verdad lo que dices Makoto de hecho sale lo siguiente:
Imagen
¿Qué ocurrió cuando Google visitó este sitio?
De las 2 páginas analizadas en el sitio durante los últimos 90 días, 2 página(s) contenía(n) software malicioso que había sido descargado e instalado sin el permiso del usuario. Google visitó este sitio por última vez el 2010-04-09, y se encontró contenido sospechoso en este sitio por última vez el 2010-04-09.
Malicious software includes 2 trojan(s). Successful infection resulted in an average of 1 new process(es) on the target machine.

El software malicioso se encuentra alojado en 2 dominio(s), entre los que se incluyen aversbonko.com/, computersengines.com/.

Parece que 1 dominio(s) actúa(n) como intermediario(s) en la difusión de software malicioso para los visitantes de este sitio, entre los que se incluyen aversbonko.com/.

This site was hosted on 1 network(s) including AS3595 (GNAXNET).

Código: Seleccionar todo

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?site=http://www.hello-peru.com/&client=googlechrome&hl=es
Antes de nada, lee las Normas de phpBB-Es, y la siempre útil Guí a de phpBB en Castellano.
Consulta la Documentación de phpBB 2, la Documentación de phpBB 3 y los FAQS de ayuda para tus problemas.
Quizás esté resuelto, y todos ahorremos tiempo.
Si es sobre cómo Crear una Consulta SQL ya lo tienes explicado en el enlace.
En general, se pide Buscar antes de preguntar para no repetir preguntas y dudas resueltas.
Sólo tendrás Soporte si facilitas los datos correspondientes y si respetas completamente el Copyright de phpBB.
NOTA: No damos Soporte a los foros integrados en Nuke y derivados del mismo. Infórmate AQUÍ.


[hr]
Spoiler
Versión phpBB: phpBB3 (3.0.6)
MODs Instalados: PhpBB3 Portal 1.2.2 Highslide Attachment Mod 4.1.4 Activity Stats Mod Simple Hide BBcode Portal Phpbb Arreglos Varios a Portal, cambios, etc Similar Topic`s Mod Tabs al estilo prosilver No Avatar Barra lateral de Mitch Seo URl v. 6.2 META Etiquetas por .:: MSSTI ::.BBcode con imágenes Open Links In New Tab MSSTI RSS Feed 2.0 with ACP Email Masivo Prime Links [Con modificación de Mitch incluída]Page Title Number MODQuién editó el post?
Evil Quick Reply 1.0.1
Plantilla(s) usada(s): 1blackout - [Basada en Prosilver]
Servidor:Linux. Page
Actualización desde otra versión: SI . 3.0.5
Conversión desde otro sistema de foros: No
Usuario de prueba : usuario_prueba
Pass: 123456[/align][/size][/font]
[hr]
אָ MяРαвlΘ אָ @ Webmaster de JjTeamWebdesign


Imagen

Volver a “❓ Dudas sobre BBCode”