Quitar etiquetas BBC de la firma, para evitar ejecucion de PHP

noticia · heinäkuu 06, 2006, 10:46:05 IP

Existe alguna forma de eliminar las etiquetas BBC o una en especial

[IMG] de la firma del usuario ya que existe la posibilidad de ejecutar código php por medio de imagenes.

quiero que mi foro no tenga este tipo de ataque y quisiera deshabilitar de la firma este codigo, para no tener que llegar a medidas mas drásticas como quitar todas las firmas.

uds se preguntaran... es posible ejecutar código php por medio de una imagen?
la respuesta es SI, no han visto las imagenes que muestran tu ip, navegador, SO, etc.. esas imagenes ejecutan código php y muestran el resultado con la librería GD en forma de imagen.

el caso es que se puede hacer cualquier cosa ejemplo:
imaginen que ponen este código en la imagen

Koodi [Valitse]

header('WWW-Authenticate:... (no lo pongo completo por que puede ser mal usado por algunos) en pocas palabras este código junto con otras lineas mas (que no pondré por seguridad) te sacara una pantalla de inicio de sección (como cuando entras a un ftp por el navegador) si un usuario del foro malintencionado introduce una imagen especialmente diseñada con estos códigos en su firma, y otro usuario normal entra a un post que el primer usuario ha creado le aparecerá el mensaje de inicio de sección, si introduce los datos estos pueden ser guardado facilmente por medio de

Koodi [Valitse]

PHP_AUTH_PW y así se obtendrá el nombre de usuario y contraseña de un usuario del foro.

Esto también se aplica a los avatares, pero se soluciona seleccionando "no permitir avatares externos" desde el panel de administración.

Si alguien sabe la respuesta, por favor que la ponga.
Muchas gracias, estaré atento y si encontró yo antes la solución la posteare.

EgAr · heinäkuu 07, 2006, 02:24:59 AP

revisa esto

http://www.simplemachines.org/community/index.php?topic=15594.0;all

saludos

Pedi que me borren · heinäkuu 07, 2006, 03:37:46 AP

Lainaus käyttäjältä: noticia - heinäkuu 06, 2006, 10:46:05 IP
el caso es que se puede hacer cualquier cosa ejemplo:
imaginen que ponen este código en la imagen
Koodi [Valitse] Laajenna
header('WWW-Authenticate:... (no lo pongo completo por que puede ser mal usado por algunos) en pocas palabras este código junto con otras lineas mas (que no pondré por seguridad) te sacara una pantalla de inicio de sección (como cuando entras a un ftp por el navegador) si un usuario del foro malintencionado introduce una imagen especialmente diseñada con estos códigos en su firma, y otro usuario normal entra a un post que el primer usuario ha creado le aparecerá el mensaje de inicio de sección, si introduce los datos estos pueden ser guardado facilmente por medio de
Koodi [Valitse] Laajenna
PHP_AUTH_PW y así se obtendrá el nombre de usuario y contraseña de un usuario del foro.

Eso sucede en cualquier formato de foro, que permita colocar imagenes.
Con colocar la imagene en un directorio protegido es suficiente para que salga la advertencia.
A ningun usuario se le ocurriria, colocar la contraseña.
Si ves un mensaje asi en el foro, borralo.
Si el usuario, lo hizo con la intencion de molestar...banealo.

noticia · heinäkuu 07, 2006, 06:18:47 AP

Lo que necesito es algo asi http://www.simplemachines.org/community/index.php?topic=34200.0 pero solo para el codigo

Koodi [Valitse]

[img] en la firma.

Con el codigo que me pasaste (muchas gracias por responder) solamente logro ocultar la imagen, pero el codigo php se sigue ejecutando.

[darksteel] · heinäkuu 07, 2006, 05:20:39 IP

...SMF no permite ejecutar tipos de php en las tags...

darksteel-

noticia · heinäkuu 08, 2006, 01:34:11 IP

Lainaus käyttäjältä: [darksteel] - heinäkuu 07, 2006, 05:20:39 IP
...SMF no permite ejecutar tipos de php en las tags...

darksteel-

No es directamente en los tags, sino usando php para crear una imagen (ejemplo firmas que te dicen, ip, so, país, etc..)

Léete el primer post, por ejemplo con enviar esos encabezados te sacara una ventana de "inicio de seccion".

Nadie tiene una solución?

Pedi que me borren · heinäkuu 08, 2006, 07:47:37 IP

No es asi...!!

pero si tenes temor de que algun usuario, haga lo que vos supones, coloca un mensaje aclaratorio, de que no se pueden colocar esas cosas en el foro y listo...cualquier cosa las borras.

Con Smf, no vas a tener problema...mas que el que te mencione mas arriba.

noticia · heinäkuu 08, 2006, 10:30:02 IP

lamentablemente un usuario mal intencionado no pondrá cuidado a un mensaje de advertencia y simplemente ingresara el código (QUE SI FUNCIONA, SI QUIEREN LES HAGO UNA PRUEBA), fuera de eso a mi me queda muy duro revisar firma por firma los mas de 10.000 usuarios

nadie sabe como quitar el bbc [img] de la firma?

[darksteel] · heinäkuu 09, 2006, 12:20:11 AP

Lainaus käyttäjältä: noticia - heinäkuu 08, 2006, 10:30:02 IP
lamentablemente un usuario mal intencionado no pondrá cuidado a un mensaje de advertencia y simplemente ingresara el código (QUE SI FUNCIONA, SI QUIEREN LES HAGO UNA PRUEBA), fuera de eso a mi me queda muy duro revisar firma por firma los mas de 10.000 usuarios

nadie sabe como quitar el bbc [img] de la firma?

pruebas para ver y reportar.

darksteel-

Omar Bazavilvazo · heinäkuu 09, 2006, 11:47:20 AP

hola

eso que dices NO se puede, los gifs que te dan ip, browser, etc etc lo hacen x q se manda llamar un php que genera un stream de gif, y en los encabezados del request viene toda la info que se muestra. un gif o jpg no contiene codigo dañino, aunque flash si.

si aun asi no me crees, o no nos crees, simplemente deshabilita codigo bbc en las firmas:

en Load.php busca:

Koodi [Valitse]


$profile['signature'] = parse_bbc($profile['signature'], true, 'sig' . $profile['ID_MEMBER']);

y borra esa linea

pero el afirmar eso que pusiste con tanta vehemencia sin pruebas o documentos tecnicos, solo asusta a los usuarios

noticia · heinäkuu 10, 2006, 07:32:07 IP

hay esta lo que pedían, no publico el código por que ya saben que otras personas lo podrían usar con malos fines.

pero para fines de estudio lo enviaría a algun mod del smf.

Pedi que me borren · heinäkuu 10, 2006, 08:05:14 IP

Eso es lo que te mencione mas arriba...
Es lo unico que se puede hacer y lo podes hacer en cualquier foro, blog o cualquier cms que te permita colocar imagenes.
NO ES UN BUG NI UNA BULNERABILIDAD
Simplemente, estas haciendo una peticion de una imagen a un directorio protegido.

noticia · heinäkuu 10, 2006, 08:27:41 IP

no es un directorio protegido, el mensaje esta hay intencionalmente y los datos ingresados pueden ser guardados.

Pedi que me borren · heinäkuu 10, 2006, 08:36:04 IP

Es un directorio protegido

Lo que logras con eso, es exponer tu sitio.

noticia · heinäkuu 10, 2006, 08:43:16 IP

NO es un directorio protegido.
Por que tan terco.

Pedi que me borren · heinäkuu 10, 2006, 09:11:16 IP

Pusiste la firma en esta direccion:
http://www.colombiasecret.com/firma/1/

Para acceder al directorio "1" pedis una contraseña.

Cambia la firma.!

Tema cerrado.

[darksteel] · heinäkuu 10, 2006, 09:15:03 IP

Lainaus käyttäjältä: OldiesmannThis is just the way HTML handles things - if you try to display an image with and the image is behind a password-protected directory, then you'll end up with that result

darksteel-

Simple Machines Community Forum

Uutiset:

Quitar etiquetas BBC de la firma, para evitar ejecucion de PHP

noticia

EgAr

Pedi que me borren

noticia

[darksteel]

noticia

Pedi que me borren

noticia

[darksteel]

Omar Bazavilvazo

noticia

Pedi que me borren

noticia

Pedi que me borren

noticia

Pedi que me borren

[darksteel]