Questo sito utilizza cookies, anche di terze parti, per mostrare pubblicità e servizi in linea con il tuo account. Leggi l'informativa sui cookies.
Username: Password: oppure
Feedbacks - Problemi con l'upload dei sorgenti
Forum - Feedbacks - Problemi con l'upload dei sorgenti

Avatar
GN (Member)
Guru


Messaggi: 772
Iscritto: 30/04/2011

Segnala al moderatore
Postato alle 14:09
Venerdì, 16/05/2014
Ho notato che se nel caricare un sorgente (nella pagina pierotofy.it/pages/sorgenti/browse/source_manager.php?program_id=*****) si mette un'apostrofo nella descrizione va a pallino tutta la query SQL e si ottiene questo errore http://imgur.com/a9i5NiR. Immagino sia dovuto all'apostrofo perchè poi ho riprovato togliendolo ed è andato tutto a posto. Inoltre penso che ci siano altri bug nel sistema di gestione dei sorgenti, guardate adesempio quelli di questo mio programma che ho appena messo: in questo ad esempio saltano i ritorni a capo, cosa che mi pare di aver visto anche per sorgenti di altri programmi presenti sul sito http://www.pierotofy.it/pages/sorgenti/browse/19340/5291/, mentre in questo addirittura i frammenti di HTML che ci sono nel javascript vengono interpretati! http://www.pierotofy.it/pages/sorgenti/browse/19340/5292/

Ultima modifica effettuata da GN il 16/05/2014 alle 14:10


-
PM Quote
Avatar
ZioCrocifisso (Member)
Pro


Messaggi: 135
Iscritto: 06/03/2013

Segnala al moderatore
Postato alle 14:25
Venerdì, 16/05/2014
Potrebbe essere una falla pericolosa, modifica il post togliendo tutto e invialo in privato a qualche admin...


PM Quote
Avatar
pierotofy (Admin)
Guru^2


Messaggi: 6198
Iscritto: 04/12/2003

Segnala al moderatore
Postato alle 19:31
Venerdì, 16/05/2014
Si, si, decisamente un problema serio. Dovrebbe essere a posto ora!

Grazie per la segnalazione!


Seguimi su Twitter: http://www.twitter.com/pierotofy

Fai quello che ti piace, e fallo bene.
PM Quote
Avatar
GN (Member)
Guru


Messaggi: 772
Iscritto: 30/04/2011

Segnala al moderatore
Postato alle 21:17
Venerdì, 16/05/2014
Ok. Scusate l'ingenuità di averlo postato pubblicamente, ora che ci penso in effetti forse poteva essere a rischio di sql injection e cose simili, comunque a quanto ho capito è stato tutto sistemato quindi non devo rimuovere?


-
PM Quote
Avatar
pierotofy (Admin)
Guru^2


Messaggi: 6198
Iscritto: 04/12/2003

Segnala al moderatore
Postato alle 21:49
Venerdì, 16/05/2014
Si non e' necessario rimuovere :)

Quando riesci ad eseguire codice HTML, e' possibile inserire dei tags <script> che ti permettono di eseguire un attacco XSS. http://it.wikipedia.org/wiki/Cross-site_scripting


Seguimi su Twitter: http://www.twitter.com/pierotofy

Fai quello che ti piace, e fallo bene.
PM Quote
Avatar
GN (Member)
Guru


Messaggi: 772
Iscritto: 30/04/2011

Segnala al moderatore
Postato alle 12:22
Sabato, 17/05/2014
Ah ok mi sembrava più pericoloso il fatto della query sql per l'upload dei sorgenti, se gli apostrofi creano problemi non è che magari (lo dico con una discreta ignoranza nel settore sicurezza quindi abbiate pietà se non ha senso) non viene effettuato bene l'escape dei dati e quindi si può introdurre del codice SQL malevolo?


-
PM Quote
Avatar
pierotofy (Admin)
Guru^2


Messaggi: 6198
Iscritto: 04/12/2003

Segnala al moderatore
Postato alle 17:21
Sabato, 17/05/2014
Si, hai pienamente ragione.


Seguimi su Twitter: http://www.twitter.com/pierotofy

Fai quello che ti piace, e fallo bene.
PM Quote