Pagina 2 di 4
Vai a Precedente  1, 2, 3, 4  Successivo
 

Messaggio Re: Attivare IFRAME

#21  Mighty Gorgon Mercoledì, 27 Giugno 2007, 13:10

Guarda, visto che nell'altro modo non riesci a farlo andare... fai così...

OPEN includes/functions_post.php
FIND
// This function will prepare a posted message for entry into the database.
function prepare_message($message, $html_on, $bbcode_on, $smile_on, $bbcode_uid = 0)
{
    global $board_config, $html_entities_match, $html_entities_replace;

    // Clean up the message
    $message = trim($message);

    if ($html_on)
    {
        // If HTML is on, we try to make it safe
        // This approach is quite agressive and anything that does not look like a valid tag
        // is going to get converted to HTML entities
        $message = stripslashes($message);
        $html_match = '#<[^w<]*(w+)((?:"[^"]*"|'[^']*'|[^<>'"])+)?>#';
        $matches = array();

        $message_split = preg_split($html_match, $message);
        preg_match_all($html_match, $message, $matches);

        $message = '';

        foreach ($message_split as $part)
        {
            $tag = array(array_shift($matches[0]), array_shift($matches[1]), array_shift($matches[2]));
            $message .= preg_replace($html_entities_match, $html_entities_replace, $part) . clean_html($tag);
            //$message .= preg_replace($html_entities_match, $html_entities_replace, $part) . $tag;
        }

        $message = addslashes($message);
        $message = str_replace('&quot;', '&quot;', $message);
    }
    else
    {
        $message = preg_replace($html_entities_match, $html_entities_replace, $message);
    }

    return $message;
}

REPLACE WITH
// This function will prepare a posted message for entry into the database.
function prepare_message($message, $html_on, $bbcode_on, $smile_on, $bbcode_uid = 0)
{
    return trim($message);
}


Così abbiamo eliminato il problema alla radice...

Con questa modifica esponete il vostro sito all'inclusione di qualunque codice HTML... non si risponde di eventuali danni.
 




Versione di IP: 3.X

Server: Linux

____________
Luca
 
avatar
italia.png Mighty Gorgon Sesso: Uomo
I wanna love you tender
 
Età: 42
Registrato: Mag 2007
Residenza: Borgo San Michele
Messaggi: 1675
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#22  xela Mercoledì, 27 Giugno 2007, 13:33

se possibile vorrei evitare..... perchè non posso essere come tutti gli utenti che usano il bbcode senza problemi?

non voglio esporre il mio sito a problemi se c'e' qualcuno che ci riesce senza averne....
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#23  Andrea75 Mercoledì, 27 Giugno 2007, 14:06

xela ha scritto: [Visualizza Messaggio]
se possibile vorrei evitare..... perchè non posso essere come tutti gli utenti che usano il bbcode senza problemi?

non voglio esporre il mio sito a problemi se c'e' qualcuno che ci riesce senza averne....


xela, il risultato è lo medesimo....  anche se ti avesse funzionato il primo sistema, il rischio sarebbe stato esattamente lo stesso. E' l'inclusione di un codice HTML esterno in un topic a creare danni, non quale sistema si ottenga per permetterlo.
 




Versione di IP: 2.0.0.86

Server: Linux

____________
My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com
 
avatar
italia.png Andrea75 Sesso: Uomo
Amministratore
Amministratore
bel tempo con possibili rovesci
 
Età: 42
Registrato: Mag 2007
Residenza: Perugia
Messaggi: 3984
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#24  xela Mercoledì, 27 Giugno 2007, 14:08

Grazie andrea ma io non cercavo di far funzionare tutto l'html ma solo il tag iframe bbcode.... mi sembra diverso o no?
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#25  Andrea75 Mercoledì, 27 Giugno 2007, 14:10

xela ha scritto: [Visualizza Messaggio]
Grazie andrea ma io non cercavo di far funzionare tutto l'html ma solo il tag iframe bbcode.... mi sembra diverso o no?


E qual'è la differenza?  
 




Versione di IP: 2.0.0.86

Server: Linux

____________
My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com
 
avatar
italia.png Andrea75 Sesso: Uomo
Amministratore
Amministratore
bel tempo con possibili rovesci
 
Età: 42
Registrato: Mag 2007
Residenza: Perugia
Messaggi: 3984
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#26  Mighty Gorgon Mercoledì, 27 Giugno 2007, 15:09

Come ha correttamente detto Imlianot, devi fornire un link per poter testare... dov'è il problema...
 




Versione di IP: 3.X

Server: Linux

____________
Luca
 
avatar
italia.png Mighty Gorgon Sesso: Uomo
I wanna love you tender
 
Età: 42
Registrato: Mag 2007
Residenza: Borgo San Michele
Messaggi: 1675
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#27  xela Mercoledì, 27 Giugno 2007, 16:57

il link che vi fornisco è relativo a un altro post rispetto a quello del quale vi ho dato le immagini...solo per il fatto che quella era in un area riservata...se vi necessita quella vi devo dare l'accesso all'area riservata...fatemi sapere se quello che ho fornito va bene.

Link
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#28  hpl Mercoledì, 27 Giugno 2007, 17:02

ok, riesci ad attivarmi?    
 




Versione di IP: 1.3.x

Server: Linux

____________
user_151_grisu_1183140789_251094
- SoNo un PoMpIeRe -
 
avatar
italia.png hpl Sesso: Uomo
Veterano
Veterano
miserable
 
Età: 37
Registrato: Mag 2007
Residenza: Trieste
Messaggi: 1211
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#29  xela Mercoledì, 27 Giugno 2007, 17:06

attivato sei admin
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#30  hpl Mercoledì, 27 Giugno 2007, 17:14

mmm

nella sorgente pagina del post non compare il codice dell'iframe. Prova a fare quella modifica che ti ha suggerito MG, altre idee non mi vengono in mente...
 




Versione di IP: 1.3.x

Server: Linux

____________
user_151_grisu_1183140789_251094
- SoNo un PoMpIeRe -
 
avatar
italia.png hpl Sesso: Uomo
Veterano
Veterano
miserable
 
Età: 37
Registrato: Mag 2007
Residenza: Trieste
Messaggi: 1211
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#31  xela Mercoledì, 27 Giugno 2007, 17:19

Andrea75 ha scritto: [Visualizza Messaggio]
xela ha scritto: [Visualizza Messaggio]
Grazie andrea ma io non cercavo di far funzionare tutto l'html ma solo il tag iframe bbcode.... mi sembra diverso o no?


E qual'è la differenza?  



bhe la differenza la spiega MG nella spiegazione della mod. e per questo vorrei seguire il consiglio e non attivare tutto l'html ma solo il tag bbcode...

magari ho sbagliato a fare la modifica? possibile che agli altri funzioni e a me no?
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#32  xela Mercoledì, 27 Giugno 2007, 17:20

hpl dai il tuo accesso a MG magari (se ha tempo e voglia) riesce a capire come mai...
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#33  hpl Mercoledì, 27 Giugno 2007, 17:21

riprova a rifare la modifica da 0, nella compilazione del messaggio ora come ora viene escluso il < iframe >

se qualcuno oltre MG vuole provare a smanettare mi chieda l'accesso via pvt
 




Versione di IP: 1.3.x

Server: Linux

____________
user_151_grisu_1183140789_251094
- SoNo un PoMpIeRe -
 
avatar
italia.png hpl Sesso: Uomo
Veterano
Veterano
miserable
 
Età: 37
Registrato: Mag 2007
Residenza: Trieste
Messaggi: 1211
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#34  xela Mercoledì, 27 Giugno 2007, 17:25

l'ho rifatta 1000 volte credimi allego anche il file bbcode
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#35  Andrea75 Mercoledì, 27 Giugno 2007, 17:30

xela ha scritto: [Visualizza Messaggio]


bhe la differenza la spiega MG nella spiegazione della mod. e per questo vorrei seguire il consiglio e non attivare tutto l'html ma solo il tag bbcode...

magari ho sbagliato a fare la modifica? possibile che agli altri funzioni e a me no?


Non hai capito... la so qual'è la differenza Quello che volevo dirti è che in qualsiasi modo effettui la modifica, un inclusione del codice HTML, anche tramite il BBcode [iframe] è comunque dannosa... allo stesso modo... quindi tenta anche la seconda via che ti ha proposto MG. Cambia poco o nulla a livello di sicurezza fidati. Sei messo male cmq!
 




Versione di IP: 2.0.0.86

Server: Linux

____________
My Icy forum: www.lineameteo.it
Staff Member @ Icy Phoenix.it & Icy Phoenix.com
 
avatar
italia.png Andrea75 Sesso: Uomo
Amministratore
Amministratore
bel tempo con possibili rovesci
 
Età: 42
Registrato: Mag 2007
Residenza: Perugia
Messaggi: 3984
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#36  hpl Mercoledì, 27 Giugno 2007, 17:34

per interderci se nel topic viene scritto:

[iframe]link a pagina con codice_dannoso[/iframe]


oppure

codice_dannoso


il succo non cambia    
 




Versione di IP: 1.3.x

Server: Linux

____________
user_151_grisu_1183140789_251094
- SoNo un PoMpIeRe -
 
avatar
italia.png hpl Sesso: Uomo
Veterano
Veterano
miserable
 
Età: 37
Registrato: Mag 2007
Residenza: Trieste
Messaggi: 1211
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#37  xela Mercoledì, 27 Giugno 2007, 18:38

potrei sapere qual'e' il risultato dell'ultima modifica? cioè rende inutili i tasti html on/off? da tutto in on?
e ancora
e se io modificassi in modo che solo i mod possano usare quel codice html?
e....
avete visto il mio file bbcode?
 






____________
© Xela La triade Group - website
 
avatar
italia.png xela Sesso: Uomo
Frequentatore
Frequentatore
 
Età: 41
Registrato: Mag 2007
Messaggi: 103
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#38  Imlianot Giovedì, 28 Giugno 2007, 10:31

Non sono un programmatore ne ho un idea profonda di icy ma se non erro rendere attivo il bbcode [iframe] solo ai moderatori o agli admin mi sembra laborioso...

ossia:

se lo fai solo a livello di "visualizzazione tasto inserisci iframe" un utente potrebbe comunque inserire il tag e lo puoi fare semplicemente modificando il tpl giusto ed inserendo <!--- Begin [check user is moderator (che ora non ricordo a memoria)] ---!> codice del tasto <!--- End etc ---!>

se vuoi costruire un controllo che in caso un utente non moderatore inserisce il codice iframe e il tuo forum non glielo "traduce" in codice eseguibile ma gli lascia o la scritta  [iframe]qualcosa[/iframe] o una scritta a tuo piacere... Allora auguri con il php e non credo che qualcuno abbia il tempo di scriverti quel codice... e comunque si torna al discorso principale che forse non hai capito....

Ipostesi tutto risoloto:

Tu e solo tu puoi inserire IFRAME

Io e solo io sono un vigliacco Mo..er F..ker

trovo la pagina a cui punti, trovo una vulnerabilità alla pagina, ci implemento il mio bel codice MALIGNO e tutti i tuoi utenti sono "fottuti".

esistono 2000 modi per fare una cosa del genere, il + vigliacco che mi viene in mente è alterare il file hosting di windows in modo tale che alla prossima visualizzazione di quel post l'iframe sia giusto ma punti in realtà a una mia pagina....

il file hosting è un file testo e scrivere qualcosa che ci inoculi altre righe non è poi cosi difficile, con una ricerca fatta a modo su google trovi tanti sistemi per farlo ognuno adatto alla realtà del tuo "cliente"


Tuo File BBCODE

non hai seguito le istruzioni passo passo

MG (se mi posso permettere l'abbreviazione)

ti ha detto di mettere sopra a "align" ossia intorno alla riga 272 il codice iframe

tu lo hai messo alla riga 475 sarà che sono appena sveglio ma non mi sembra che l'area in cui lo hai messo sia quella giusta... visto mai che poi funziona



MG voleva che tu lo mettessi dopo questa riga

var $allowed_bbcode = array( etc etc

tu lo hai messo dopo questa

var $allowed_html = array(

in pratica hai mischiato le due istruzioni, non so se questo sia volontario o una tua dimenticanza a forza di fare prove, quello che ti assicuro è che entrambe le istruzioni a me funzionano perfettamente (e mi sono già autoinoculato il pc mica male)
 




Versione di IP: 1.3.0.53

Server: Linux
 
avatar
italia.png Imlianot Sesso: Uomo
 
 
Età: 42
Registrato: Giugno 2007
Messaggi: 267
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#39  Mighty Gorgon Giovedì, 28 Giugno 2007, 10:48

Infatti non è facile creare una cosa del genere... anzi diciamo che è impossibile farli eseguire solo ad alcuni utenti.

L'unico modo per farlo secondo me è invece consentire solo agli admin o moderatori di attvare lo switch HTML... in questo modo anche se gli utenti inviano codice non viene processato a meno che qualcuno con i permessi giusti non lo abiliti.

Comunque il problema di xela è che non riesce proprio ad abilitarlo... ed io al momento non ho tempo di stargli dietro e fare test per una cosa pericolosa e che non vorrei neanche pubblicare in un forum.
 




Versione di IP: 3.X

Server: Linux

____________
Luca
 
avatar
italia.png Mighty Gorgon Sesso: Uomo
I wanna love you tender
 
Età: 42
Registrato: Mag 2007
Residenza: Borgo San Michele
Messaggi: 1675
  • Torna in cima Vai a fondo pagina
 

Messaggio Re: Attivare IFRAME

#40  Mighty Gorgon Giovedì, 28 Giugno 2007, 10:51

Hai cambiato il tuo messaggi mentre rispondevo... he he he...

Non ci metto la mano sul fuoco... ma sono abbastanza sicuro che il mio codice funzioni... perché l'avevo testato...

Grazie per aver testato ed esserti autoinOculato (notare che c'è una O ) il pc!
 




Versione di IP: 3.X

Server: Linux

____________
Luca
 
avatar
italia.png Mighty Gorgon Sesso: Uomo
I wanna love you tender
 
Età: 42
Registrato: Mag 2007
Residenza: Borgo San Michele
Messaggi: 1675
  • Torna in cima Vai a fondo pagina
 


NascondiQuesto argomento è stato utile?
Condividi Argomento
Segnala via email Facebook Twitter Windows Live Favorites MySpace del.icio.us Digg SlashDot google.com LinkedIn StumbleUpon Blogmarks Diigo reddit.com Blinklist co.mments.com
technorati.com DIGG ITA linkagogo.com meneame.net netscape.com newsvine.com yahoo.com Fai Informazione Ok Notizie Segnalo Bookmark IT fark.com feedmelinks.com spurl.net
Inserisci un link per questo argomento
URL
BBCode
HTML
NascondiArgomenti Simili
Argomento Autore Forum Risposte Ultimo Messaggio
No Nuovi Messaggi Attivare User Automaticamente E Forum Lento?! sharknos Archivio 'Supporto Generale' 7 Martedì, 12 Giugno 2007, 22:00 Leggi gli ultimi Messaggi
fucile
No Nuovi Messaggi Attivare RSS vuLCan Karayan Archivio 'Supporto Generale' 1 Sabato, 20 Settembre 2008, 11:32 Leggi gli ultimi Messaggi
buldo
No Nuovi Messaggi [RISOLTO]Come Attivare Un Utente vilas Archivio 'Supporto Generale' 3 Martedì, 02 Dicembre 2008, 17:19 Leggi gli ultimi Messaggi
briza74
No Nuovi Messaggi Attivare Account In Automatico Xshel Archivio 'Supporto Generale' 6 Venerdì, 27 Febbraio 2009, 17:51 Leggi gli ultimi Messaggi
briza74
No Nuovi Messaggi Attivare Pulsante Mi Piace iffty Supporto Generale 4 Sabato, 13 Giugno 2015, 10:38 Leggi gli ultimi Messaggi
Il Giustiziere

Pagina 2 di 4
Vai a Precedente  1, 2, 3, 4  Successivo









  

 

cron