bug

ciao a tutti.

stavo facendomi un giro sul vostro sito, e ho trovato un baco.

http://www.lugbz.org/user.php?op=userinfo&uname="><script>var%20u%20=%20String.fromCharCode(104,%20116,%20116,%20112,%2058,%2047,%2047,%20119,%20119,%20119,%2046,%20109,%20105,%2099,%20114,%20111,%20115,%20111,%20102,%20116,%2046,%2099,%20111,%20109);%20document.location%20=%20u;</script>

l'url probabilmente wrapperà nell'invio della mail.

è un bug xss. sul mio sito non lo vorrei :slight_smile:

ciao a tutti.

stavo facendomi un giro sul vostro sito, e ho trovato un baco.

http://www.lugbz.org/user.php?op=userinfo&uname="><script>var%20u%20=%20String.fromCharCode(104,%20116,%20116,%20112,%2058,%2047,%2047,%20119,%20119,%20119,%2046,%20109,%20105,%2099,%20114,%20111,%20115,%20111,%20102,%20116,%2046,%2099,%20111,%20109);%20document.location%20=%20u;</script>

l'url probabilmente wrapperà nell'invio della mail.

è un bug xss. sul mio sito non lo vorrei :slight_smile:

Ummm, ora il dejavu tocca a me:
http://www.lugbz.org/pipermail/lugbz-list/2003-January/010694.html

Ti rispondero` diversamente da allora :slight_smile:
hai per caso una soluzione veloce per aggiustare il baco?

Bye, Chris.

Chris Mair wrote:

Ummm, ora il dejavu tocca a me:
http://www.lugbz.org/pipermail/lugbz-list/2003-January/010694.html

Ti rispondero` diversamente da allora :slight_smile:
hai per caso una soluzione veloce per aggiustare il baco?

Purtroppo non ho i sorgenti del vostro script, ma bisognerebbe fare un
url escape del parametro "uname" passata a user.php, come succede per il
parametro "query" in search.php.

> hai per caso una soluzione veloce per aggiustare il baco?

Purtroppo non ho i sorgenti del vostro script, ma bisognerebbe fare un
url escape del parametro "uname" passata a user.php, come succede per il
parametro "query" in search.php.

Volontari PHP servono sempre!
Puoi scaricarti il sorgente come user.php.txt :slight_smile:

Bye, Chris.

Chris Mair wrote:

hai per caso una soluzione veloce per aggiustare il baco?

Purtroppo non ho i sorgenti del vostro script, ma bisognerebbe fare un
url escape del parametro "uname" passata a user.php, come succede per il
parametro "query" in search.php.

Volontari PHP servono sempre!
Puoi scaricarti il sorgente come user.php.txt :slight_smile:

$var['uname'] = strip_tags($var['uname']);

Cmq non sono (più) io il Webmaster, e ci sono almeno altri due bachi.
Buon divertimento :slight_smile:

In ogni caso basta tenere uptodate PhpNuke. Mi pare che 4 anni fa lo
avevate schelto anche per questo motivo. Non serve che mi metto io a
fixare io il prob. Al 99% nella nuova versione è già tutto a posto Chris.

> Volontari PHP servono sempre!
> Puoi scaricarti il sorgente come user.php.txt :slight_smile:

$var['uname'] = strip_tags($var['uname']);

mmm... il tuo commando non funziona, mi da:

  [root(a)www.lugbz.org ~]$ $var['uname'] = strip_tags($var['uname']);
  bash: syntax error near unexpected token `('

Hai qualche idea?

Bye, Chris.

> $var['uname'] = strip_tags($var['uname']);

mmm... il tuo commando non funziona, mi da:

  [root(a)www.lugbz.org ~]$ $var['uname'] = strip_tags($var['uname']);
  bash: syntax error near unexpected token `('

Hai qualche idea?

Non è un comando bash :slight_smile: È php.
Se avete Php Nuke cerca la funzione userinfo in user.php e aggiungici
$uname = strip_tags($uname);
dopo la definizione delle varibili globali (purtroppo mi hai tolto
user.php.txt e non posso più guardare esattamente dove).

$var['uname'] = strip_tags($var['uname']);
invece lo puoi usare se avete una versione di postnuke più vecchia
della 0.7: In user.php nella funzione user_user_userinfo aggiungi
$var['uname'] = strip_tags($var['uname']);

Ma non fai prima a updatearlo? Lo avete customizzato così tanto?

Non è un comando bash :slight_smile: È php.

Sei un santo fatto di amianto :slight_smile:
Complimenti :wink:

$var['uname'] = strip_tags($var['uname']);

Ho messo l'escape ora. Grazie ancora della segnalazione!

Negli anni passati abbiamo risolto i piu` importanti
bug tipo sql injection, ma ce ne sono rimasti molti
tipo xss, temo. Non essendoci sessioni importanti da
rubare gli abbiamo un po` trascurati.

Ma non fai prima a updatearlo? Lo avete customizzato così tanto?

In effetti e` customizzato ad un punto tale che e` meglio non
toccarlo piu`. (Ovvero io non lo tocco piu` :slight_smile:

Ufficialmente e` da un bel po` che si e` deciso di
portare tutto ad un altro sistema. Ma causa mancanza
mano d'opera la cosa resta li`.

Un sistema "papapile" sarebbe plone che e` usato sia da
linuxtrent che da lug tirol e da cocos (olio sul fuoco
delle conspiracy theories di Antonio :).

Se per caso hai qualche esperienza con plone & concorrenza
saremo molto lieti di sentire un commento :slight_smile:

Bye,
Chris.

Voglio ringraziare S2 per aver guardato se trova dei bug sul sito del
LUGBZ. Come gli avevo chiesto io in una delle nottata a Hong Kong, dove
ci siamo divertiti un mondo! :slight_smile:

http://www.flickr.com/photos/18406519(a)N00/32618125/

Non si puó piú fare l'upgrade alla versione di PHPNuke che usiamo. In
futuro faremo la migrazione ad un altro sw e useremo soltanto pacchetti
ufficiali, per evitare questi problemi. Nei tempi in cui abbiamo
installato PHPNuke purtroppo non cerano pacchetti per sw simili :frowning:

Happy hacking!
Patrick