Piwigo.org

LucMorizur · 2011-03-16 23:11:47

Bonsoir ;

si je m'enregistre avec le username « Essai<p>Hop !</p> » (seconde copie d'écran), j'obtiens le « Hop » dans un bloc de paragraphe, dans le bloc d'identification (première copie d'écran).

Ça ne devrait pas être empêché, ça ?

EDIT : pas moyen d'avoir les copies d'écran dans l'ordre voulu |-( ...

Dernière modification par LucMorizur (2011-03-29 22:37:32)

ddtddt · 2011-03-27 08:44:41

C'est à dire que les balises html ne soit pas autorisé ?

LucMorizur · 2011-03-27 12:21:22

ddtddt a écrit:
C'est à dire que les balises html ne soit pas autorisé ?

Ben, au moins dans le username, non ? Histoire de pas donner la possibilité de faire des trucs idiots.

Pour donner un exemple, je me suis inscrit avec le compte

M<script>window.open('http://piwigo.org');</script>

sur la galerie de tests de LCAS. J'ai pu y vérifier que les commentaires ne permettent pas d'ouvrir une fenêtre popup grâce à ce username ( http://michelisabeth2.free.fr/pwg22rc3/ … category/4 ). Mais je me demande tout de même si ça ne pose pas un problème.

flop25 · 2011-03-27 16:12:31

en effet cela pose un problème !

Gotcha · 2011-03-27 18:49:02

flop25 a écrit:
en effet cela pose un problème !

Lequel ??? Seul le membre peux voir afficher son code inséré dans son identifiant...

flop25 · 2011-03-27 20:39:34

je ne sais pas... il met une iframe qui peut poser des problèmes de sécurités, il peut casser le rendu css/html sans s'en rendre compte etc
Et même c'est comme si on avoir des smileys sur son nom dans sa carte d'identité, c'est absurde !

De plus si les caractères html sont échappés par la suite dans les pages publiques (genre comment) pourquoi les accepter lors de l'inscription ?

LucMorizur · 2011-03-27 21:45:32

Gotcha a écrit:
flop25 a écrit:
en effet cela pose un problème !
Lequel ??? Seul le membre peux voir afficher son code inséré dans son identifiant...

Si tu peux visiter la galerie maintenant (un nouveau membre est récemment connecté, comme l'affiche [extension by VDigital] Whois Online) : http://michelisabeth2.free.fr/pwg22rc3 .

Dernière modification par LucMorizur (2011-03-27 21:45:59)

LucMorizur · 2011-03-27 22:15:39

Bon, manque de bol, ça n'a "fonctionné" qu'un moment. En effet, l'utilisateur « P<script>window.open('http://piwigo.org');</script> » ne peut être affiché qu'au moment de l'enregistrement de celui-ci, car à l'identification, le champ "username" est limité à 40 caractères. Cet utilisateur ne peut donc pas s'identifier à nouveau après s'être déconnecté.

Néanmoins, je t'invite Gotcha à vérifier la dernière page des utilisateurs dans la partie administration du site : tu vas voir ça fait bizarre. (Je t'envoie les identifiants de ton compte admin. Ne pas s'étonner des 100 et quelques pages d'utilisateurs, c'est une galerie un peu spéciale... ^^ )

Mais sinon, avec Whois Online, ça "fonctionnait" quand même un moment. Je vais peut-être notifier cljosse, aussi.

Gotcha · 2011-03-28 00:49:30

Oki mais je ne sais pas comment faire en sorte d'interdire ce genre de procéder à moins d'interdire les caractères : < et > ou sinon lors de la validation à les remplacer...

LucMorizur · 2011-03-28 08:52:48

Gotcha a écrit:
Oki mais je ne sais pas comment faire en sorte d'interdire ce genre de procéder à moins d'interdire les caractères : < et > ou sinon lors de la validation à les remplacer...

Il existe des fonctions en PHP (et peut-être même en Javascript d'ailleurs) pour remplacer certains caractères :

Doc PHP a écrit:
htmlspecialchars :
Convertit les caractères spéciaux en entités HTML

"&" (et commercial) devient "&"
""" (guillemets doubles) devient """ lorsque ENT_NOQUOTES n'est pas utilisée.
"'" (guillemet simple) devient "'" uniquement lorsque ENT_QUOTES est utilisée.
"<" (inférieur à) devient "<"
">" (supérieur à) devient ">"

Gotcha · 2011-03-28 11:44:54

@Eric :
Ce serait bien une petite option dans UAM qui permettrait d'interdire certains caractères ^^

Par exemple, en bloquant les lettres : " < " et " > " on pourrait éviter l'injection de code sur ce champs "login" à l'inscription ;-)

LucMorizur · 2011-03-28 12:17:15

ÀMHA, il faut modifier le "core" de Piwigo, pour être sûr qu'aucune action malveillante ne puisse être effectuée de cette façon-là, à toutes les pages, et sans qu'aucun plugin ne soit nécessaire.

Gotcha · 2011-03-28 12:29:56

Avant de l'intégrer dans le CORE on peu toujours voir en plugin ce que ça donne. Mais si Eric sait nous e faire directement dans le CORE, je ne suis pas du tout contre :-D

Eric · 2011-03-28 12:41:12

Gotcha a écrit:
@Eric :
Ce serait bien une petite option dans UAM qui permettrait d'interdire certains caractères ^^

Par exemple, en bloquant les lettres : " < " et " > " on pourrait éviter l'injection de code sur ce champs "login" à l'inscription ;-)

Mais c'est déjà le cas. On peut exclure une liste de caractères non souhaités dans les usernames au moment de l'inscription. Bien entendu, ceux qui sont déjà inscrits ne sont pas impactés. ;-)

Gotcha · 2011-03-28 16:56:52

Il me semblais bien l'avoir vu quelque part et je suis allé trop vite en épluchant la page de configuration de UAM.

Eric, penses-tu que la suppression des deux caractères < et > suffiront à empêcher l'injection de mauvais code dans le username ?? Et si c'est oui, saurais-tu l'inclure dans le CORE ?

Piwigo.org

Annonce

#1 2011-03-16 23:11:47

[Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#2 2011-03-27 08:44:41

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#3 2011-03-27 12:21:22

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

ddtddt a écrit:

#4 2011-03-27 16:12:31

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#5 2011-03-27 18:49:02

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

flop25 a écrit:

#6 2011-03-27 20:39:34

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#7 2011-03-27 21:45:32

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

flop25 a écrit:

#8 2011-03-27 22:15:39

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#9 2011-03-28 00:49:30

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#10 2011-03-28 08:52:48

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

Doc PHP a écrit:

#11 2011-03-28 11:44:54

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#12 2011-03-28 12:17:15

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#13 2011-03-28 12:29:56

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

#14 2011-03-28 12:41:12

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

#15 2011-03-28 16:56:52

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Pied de page des forums