#1 2011-03-16 23:11:47

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

[Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Bonsoir ;

si je m'enregistre avec le username « Essai<p>Hop !</p> » (seconde copie d'écran), j'obtiens le « Hop » dans un bloc de paragraphe, dans le bloc d'identification (première copie d'écran).

Ça ne devrait pas être empêché, ça ?

EDIT : pas moyen d'avoir les copies d'écran dans l'ordre voulu |-( ...

Dernière modification par LucMorizur (2011-03-29 22:37:32)

Hors ligne

#2 2011-03-27 08:44:41

ddtddt
Équipe Piwigo
Quetigny (21) - France
2007-07-27
16915

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

C'est à dire que les balises html ne soit pas autorisé ?


Vous aimez Piwigo alors n'hésitez pas à participer avec nous, plus d'infos sur la page "Contribuer à Piwigo". Si vous n'avez pas beaucoup de temps et que vous souhaitez nous soutenir vous pouvez aussi le faire par un don.

Hors ligne

#3 2011-03-27 12:21:22

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

ddtddt a écrit:

C'est à dire que les balises html ne soit pas autorisé ?

Ben, au moins dans le username, non ? Histoire de pas donner la possibilité de faire des trucs idiots.

Pour donner un exemple, je me suis inscrit avec le compte

  M<script>window.open('http://piwigo.org');</script>

sur la galerie de tests de LCAS. J'ai pu y vérifier que les commentaires ne permettent pas d'ouvrir une fenêtre popup grâce à ce username ( http://michelisabeth2.free.fr/pwg22rc3/ … category/4 ). Mais je me demande tout de même si ça ne pose pas un problème.

Hors ligne

#4 2011-03-27 16:12:31

flop25
Équipe Piwigo
2006-07-06
6544

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

en effet cela pose un problème !

Hors ligne

#5 2011-03-27 18:49:02

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

flop25 a écrit:

en effet cela pose un problème !

Lequel ??? Seul le membre peux voir afficher son code inséré dans son identifiant...


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#6 2011-03-27 20:39:34

flop25
Équipe Piwigo
2006-07-06
6544

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

je ne sais pas... il met une iframe qui peut poser des problèmes de sécurités, il peut casser le rendu css/html sans s'en rendre compte etc
Et même c'est comme si on avoir des smileys sur son nom dans sa carte d'identité, c'est absurde !

De plus si les caractères html sont échappés par la suite dans les pages publiques (genre comment) pourquoi les accepter lors de l'inscription ?

Hors ligne

#7 2011-03-27 21:45:32

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

flop25 a écrit:

en effet cela pose un problème !

Lequel ??? Seul le membre peux voir afficher son code inséré dans son identifiant...

Si tu peux visiter la galerie maintenant (un nouveau membre est récemment connecté, comme l'affiche [extension by VDigital] Whois Online) : http://michelisabeth2.free.fr/pwg22rc3 .

Dernière modification par LucMorizur (2011-03-27 21:45:59)

Hors ligne

#8 2011-03-27 22:15:39

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Bon, manque de bol, ça n'a "fonctionné" qu'un moment. En effet, l'utilisateur « P<script>window.open('http://piwigo.org');</script> » ne peut être affiché qu'au moment de l'enregistrement de celui-ci, car à l'identification, le champ "username" est limité à 40 caractères. Cet utilisateur ne peut donc pas s'identifier à nouveau après s'être déconnecté.

Néanmoins, je t'invite Gotcha à vérifier la dernière page des utilisateurs dans la partie administration du site : tu vas voir ça fait bizarre. (Je t'envoie les identifiants de ton compte admin. Ne pas s'étonner des 100 et quelques pages d'utilisateurs, c'est une galerie un peu spéciale... ^^ )

Mais sinon, avec Whois Online, ça "fonctionnait" quand même un moment. Je vais peut-être notifier cljosse, aussi.

Hors ligne

#9 2011-03-28 00:49:30

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Oki mais je ne sais pas comment faire en sorte d'interdire ce genre de procéder à moins d'interdire les caractères : < et > ou sinon lors de la validation à les remplacer...


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#10 2011-03-28 08:52:48

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

Oki mais je ne sais pas comment faire en sorte d'interdire ce genre de procéder à moins d'interdire les caractères : < et > ou sinon lors de la validation à les remplacer...

Il existe des fonctions en PHP (et peut-être même en Javascript d'ailleurs) pour remplacer certains caractères :

Doc PHP a écrit:

htmlspecialchars :
Convertit les caractères spéciaux en entités HTML

"&" (et commercial) devient "&amp;"
""" (guillemets doubles) devient "&quot;" lorsque ENT_NOQUOTES n'est pas utilisée.
"'" (guillemet simple) devient "'" uniquement lorsque ENT_QUOTES est utilisée.
"<" (inférieur à) devient "&lt;"
">" (supérieur à) devient "&gt;"

Hors ligne

#11 2011-03-28 11:44:54

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

@Eric :
Ce serait bien une petite option dans UAM qui permettrait d'interdire certains caractères ^^

Par exemple, en bloquant les lettres : " < " et " > " on pourrait éviter l'injection de code sur ce champs "login" à l'inscription ;-)


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#12 2011-03-28 12:17:15

LucMorizur
Membre
Vienne (Isère, 38)
2009-03-01
1969

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

ÀMHA, il faut modifier le "core" de Piwigo, pour être sûr qu'aucune action malveillante ne puisse être effectuée de cette façon-là, à toutes les pages, et sans qu'aucun plugin ne soit nécessaire.

Hors ligne

#13 2011-03-28 12:29:56

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Avant de l'intégrer dans le CORE on peu toujours voir en plugin ce que ça donne. Mais si Eric sait nous e faire directement dans le CORE, je ne suis pas du tout contre :-D


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

#14 2011-03-28 12:41:12

Eric
Former Piwigo Team
VALENCE (FR)
2005-03-25
4579

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Gotcha a écrit:

@Eric :
Ce serait bien une petite option dans UAM qui permettrait d'interdire certains caractères ^^

Par exemple, en bloquant les lettres : " < " et " > " on pourrait éviter l'injection de code sur ce champs "login" à l'inscription ;-)

Mais c'est déjà le cas. On peut exclure une liste de caractères non souhaités dans les usernames au moment de l'inscription. Bien entendu, ceux qui sont déjà inscrits ne sont pas impactés. ;-)

Hors ligne

#15 2011-03-28 16:56:52

Gotcha
Ex Equipe Piwigo
Pierrelatte (26)
2007-03-14
13331

Re: [Résolu] [2.2.0RC4] Balises HTML non échappées dans le username ?!

Il me semblais bien l'avoir vu quelque part et je suis allé trop vite en épluchant la page de configuration de UAM.

Eric, penses-tu que la suppression des deux caractères < et > suffiront à empêcher l'injection de mauvais code dans le username ?? Et si c'est oui, saurais-tu l'inclure dans le CORE ?


Ayez comme premier réflexe de consulter le wiki.
Ensuite, veuillez effectuer une recherche sur le forum avant de poser votre question.

LE FAIRE EST LE REVELATEUR DE L'ETRE

Hors ligne

Pied de page des forums

Propulsé par FluxBB

github twitter newsletter Faire un don Piwigo.org © 2002-2024 · Contact