-
.Ti ringrazio per la segnalazione, vedrò di correggere al più presto
EDIT: Dovrei aver risolto il problema, ringrazio ancora per la segnalazione
No, lo è ancora, sembra. Consiglio di usare la funzione strip_tags(string); che restituisce una stringa uguale a quella passata come argomento, ma senza tags, né PHP né HTML.. -
.
Grazie per il consiglio, in ogni caso ho adottato un'altro metodo che sembra funzionare, prima mi ero scordato di fixare tutti i campi, al massimo se è ancora vulnerabile vedrò di utilizzare il tuo metodo . -
.Grazie per il consiglio, in ogni caso ho adottato un'altro metodo che sembra funzionare, prima mi ero scordato di fixare tutti i campi, al massimo se è ancora vulnerabile vedrò di utilizzare il tuo metodo
Eluso ancora...SPOILER (clicca per visualizzare)HTML</TeXtArEa>. -
.
Ho parlato con Hannibal Smith e mi ha fatto notare che un attacco xss al generatore non può creare alcun danno in quanto non ci sono dati sensibili o comunque credenziali di altri utenti, perciò è abbastanza inutile mettere queste protezioni, perciò almeno per il momento evito di metterle, in caso sorgono dei problemi provvederò a mettere le dovute protezioni. In ogni caso grazie comunque, sicuramente potrà tornarmi utile in futuro e ovviamente starò più attento nella creazione dei prossimi tools . -
.Ho parlato con Hannibal Smith e mi ha fatto notare che un attacco xss al generatore non può creare alcun danno in quanto non ci sono dati sensibili o comunque credenziali di altri utenti, perciò è abbastanza inutile mettere queste protezioni, perciò almeno per il momento evito di metterle, in caso sorgono dei problemi provvederò a mettere le dovute protezioni. In ogni caso grazie comunque, sicuramente potrà tornarmi utile in futuro e ovviamente starò più attento nella creazione dei prossimi tools
È vero, ma con un cookie grabber potrei ottenere accesso al tuo server, non per altro. :'D Perdona la mia sfrontatezza, ma ho veramente gradito il tool, e cerco di fare il possibile per evitare che ciò a me successo in passato, succeda nuovamente. Ti ringrazio per l'attenzione, comunque.. -
.CITAZIONEÈ vero, ma con un cookie grabber potrei ottenere accesso al tuo server, non per altro. :'D Perdona la mia sfrontatezza, ma ho veramente gradito il tool, e cerco di fare il possibile per evitare che ciò a me successo in passato, succeda nuovamente. Ti ringrazio per l'attenzione, comunque.
Si hai ragione ho dato troppo alla leggera il consiglio di ignorare un xss su di un dominio apposito
Sulla webchat utilizzo questo codice che fa uso di jQuery per convertire ogni possibile tag html in testo prima di mostrarlo al browser:HTMLfunction htmlEncode(value) {
return $('<div/>').text(value).html();
}
Edited by Hannibal_Smith - 10/5/2012, 00:16. -
.
Ok, dovrei aver risolto tutto; ho provato ad usare il codice di Hannibal Smith ma non ha funzionato, probabilmente devo aver sbagliato qualcosa, perciò ho provato ad utilizzare il consiglio di Phoenix e sembra andare con qualunque tag che viene inserito, eliminandolo nei risultati. Comunque vi ringrazio di cuore, ad essere sincero non avevo proprio pensato che potevano esserci questi problemi di sicurezza, causa del mio poco studio sull'argomento (che, ovviamente, andrò a studiare per evitare spiacevoli sorprese ) . -
.CITAZIONEÈ vero, ma con un cookie grabber potrei ottenere accesso al tuo server, non per altro. :'D Perdona la mia sfrontatezza, ma ho veramente gradito il tool, e cerco di fare il possibile per evitare che ciò a me successo in passato, succeda nuovamente. Ti ringrazio per l'attenzione, comunque.
Si hai ragione ho dato troppo alla leggera il consiglio di ignorare un xss su di un dominio apposito
Sulla webchat utilizzo questo codice che fa uso di jQuery per convertire ogni possibile tag html in testo prima di mostrarlo al browser:HTMLfunction htmlEncode(value) {
return $('<div/>').text(value).html();
}
Il jQuery è comunque client-side... disattivando il Javascript o comunque inviando le informazioni senza prima eseguire la funzione (sfruttando ad esempio le classi httpwebrequest() e httpwebresponse() in applicazioni Windows e non), dovrebbe essere aggirabile. Personalmente, creo un array equivalente a $_POST con un ciclo for, e, prima di aggiungere un elemento, elimino ogni tag con la funzione strip_tags(), che è comunque case insensitive. Comunque sia, grazie a te, Lati, per il tuo tempo. :'DSPOILER (clicca per visualizzare)CITAZIONEprobabilmente devo aver sbagliato qualcosa
Hai importato le librerie?
Edited by Phoenìx - 10/5/2012, 15:54. -
.CITAZIONEIl jQuery è comunque client-side... disattivando il Javascript o comunque inviando le informazioni senza prima eseguire la funzione (sfruttando ad esempio le classi httpwebrequest() e httpwebresponse() in applicazioni Windows e non), dovrebbe essere aggirabile. Personalmente, creo un array equivalente a $_POST con un ciclo for, e, prima di aggiungere un elemento, elimino ogni tag con la funzione strip_tags(), che è comunque case insensitive.
Sì hai ragione in un caso particolare anche questo metodo può dar problemi
Edited by Hannibal_Smith - 10/5/2012, 17:09. -
.
Beh, se non fosse possibile cambiare skin da new layout a old layout forse sarebbe bello proporre al supporto di implementare la funzione nel circuito come nativa: mi chiedevo, e se per caricare del css si usasse un CODICE@import url(http://miosito.it/skin1.css)
??
Cosi non ci sarebbero problemi di lunghezza html: si carica il css su un sito tipo altervista e si importa. Domanda, è possibile usare questo metodo su forumfree?. -
.
No, non è possibile utilizzare css esterni, probabilmente anche questo per motivi di sicurezza. Ripeto comunque che non si può fare la conversione da vecchio layout a nuovo layout, macherebbero troppe classi, perciò tanto vale rifarla da 0. Poi sono convinto che anche a proporlo ti risponderanno allo stesso modo, anche perchè se ci pensi se finora nessuno lo ha fatto probabilmente è perchè non è possibile o non ne vale la pena . -
.
Capisco, hai ragione... peccato per questo fatto che non si possano usare le @-rules. . -
xAlien95.
User deleted
Innanzitutto, grazie mille per aver pubblicato questo script!!! E' davvero fantastico!!!
Dato che nell'HTML non è possibile scrivere oltre un certo limite di righe.. sarebbe possibile caricare il CSS dei nuovi stili direttamente dal CSS del forum? Mettere i nuovi stili alla fine del CSS del primo tema in modo da non avere limiti
Prendete con le pinze la richiesta dato che non ne so praticamente niente!. -
.
Purtroppo non è possibile una cosa del genere, la modifica la si può effettuare solo tramite html. Come già detto precedentemente, consiglio di inserire solamente le classi modificate e non l'intero css, al momento non ci sono altre soluzioni . -
.
Ciao, io ho un problema con questo codice, ho usato il generatore automatico, compilato i campi relativi al titolo e all' icona, nel box sotto ho inserito solo il codice modificato della parte che volevo cambiare (solo la barra), ma una volta finito e inserito il codice, quella di default va bene mentre l' altra la vedo tagliata e storta. Dai un occhiata qua per capire. Spero mi darai una mano .