Ajout des protections XSS en enlevant htmlspecialchars pour supprimer les balises HTML #17
Conversation
Ajout des protections XSS en enlevant htmlspecialchars pour enlever les balises HTML
Create test.php
|
Voilà, j'ai fais ce que tu m'as demandé ^^, et j'ai aussi modifier leur sur le ticket.ctp car j'avais pas vu qu'il avait aussi l'erreur |
|
Parfait merci. @nivcoo t'as pu tester? |
Il m'a envoyé le fichier sur discord je lui ai modifié pour qu'il fonctionne et c'est le cas (de son retour), j'ai pas testé physiquement, il faudrait |
|
Du nouveau par ici ? Ou il y a encore la faille |
|
J'attendait que nivcoo puisse tester de son côté si possible, si il a pas le temps d'ici demain soir je ferais une release en meme temps que le CMS |
|
Des failles il y en aura toujours lol, mais sinon, si tu as check que ça casse pas le support + que la lib fonctionne pour les scripts, why not |
|
Dans tous les cas il faudra refaire je pense (ça dépend ce qu'il utilise) le design coté panel admin de ce pl donc je verrai ce soir ou demain matin de le faire |
|
PS: Je viens de télécharger le plugin et oui faut revoir le design car il utilise le système de navbar de bs 3 |
|
Je viens de tester mais j'ai pas l'impression que ça fonctionne, pas d'erreur mais ca filtre rien, j'ai testé en mettant un script directement depuis la bdd et j'ai tester la fonction lors de l'affichage sur le panel admin et aucun changement le script s'exécute quand même |
|
J'ai proposé de mettre htmLawed directement dans le CMS, ducoup le component c'est EySecurity, faudrait changer ca en haut et dans chaque appel que tu fais et donc supprimer le dossier et le fichier component du plugin Support |
|
Voilà, il faudra juste attendre le pull de nivcoo et donc forcé les utilisateurs à avoir fait la mise à jour du CMS |
|
C'est déjà le cas dans l'autre pull du plugin Support ^^, dans tous les cas il y a 3 plugins qui attendent le cms |
J’ai totalement pris des parties de code du Forum,
J’ai essayé une liste de faille XSS et je n’ai pas reçu d’erreur. J’ai regardé surtout un autre pull request et il avait fait presque la même chose donc, je ne sais pas si j’ai fait la même erreur.
Si quelqu’un voit une faille, pourrait-il m’envoyer l’injection qu’il a écrite.
Sytorex