iNews System Project [Actual version: 1.2.1][Prox. versión 1.2.1 Patch]

Freeze. · 13 Noviembre 2008, 16:49 PM

Imaginate si no tiene protección contra ese tipo de XSS tan simples. Solo imaginate lo que sucedia si el imprimia esos mensajes en la sección de borrar.

NUEVAMENTE se redireccionaba y no se podia borra nada sino desde la base de datos

Novlucker · 13 Noviembre 2008, 16:57 PM

Cita de: Freeze. en 13 Noviembre 2008, 16:49 PM
NUEVAMENTE se redireccionaba y no se podia borra nada sino desde la base de datos

Si se podía

, simplemente había que pasar los valores de las variables a traves de la url

, pero claro, había que estar logeado ya que sino no te dejaba, por lo que si bien debería de filtrar ciertas cosas, es como ha dicho Erik#, los fallos solo son visibles para el administrador ya que después de todo es quién utilizará el sistema

Freeze. · 13 Noviembre 2008, 17:06 PM

Tienes razón de que los fallos los ve solo el admin en la zona de administración pero CABREA

Aceptalo no te justifiques

Erik# · 13 Noviembre 2008, 17:39 PM

Gracias a un consejo de mi amigo Freeze, he integraso Sesiones en vez de cookies, una nueva ventaja.

Erik# · 13 Noviembre 2008, 18:57 PM

Atención: VERSION 0.3 Alpha Actualizada.

¿Que tiene de nuevo esta version?
Actualmente, en esta version es imposible efectuar funciones de <script></script> ni <META para redirecciones HTML.
Esta deshabilitado en las opciones enviar y editar, en el titulo y en el mensaje.

Erik# · 13 Noviembre 2008, 20:18 PM

Version 0.4 BETA ya disponible.

Ventajas:
- Sistema de comentarios
- Ver usuarios registrados
- Editar nombre de usuarios registrados
- Seguridad aumentada

Novlucker · 13 Noviembre 2008, 21:33 PM

Se supone que no acepta scripts, pero aún puedo poner etiquetas html, javascript y vbscript $:-\$ (esta vez lo he borrado XD) en las nuevas noticias, no así en los comentarios.
También permite crear usuarios con etiquetas de script en los nombres

Por otra parte, debería de haber un mensaje para el caso de querer registrar a un usuario con mismo nombre, aunque sean pocos, ya que al momento de registrar el nuevo usuario, con mismo nombre, te da mensaje de que se ha registrado satisfactoriamente, pero no te permite ingresar (si se ha puesto una nueva contraseña) y en el listado de usuarios aparece varias veces con un ID diferente $:-\$ (Esto último lo he dejado para que veas)

Por otra parte no se si sea adrede, pero el listado de usuarios los ve cualquiera
Eso es todo por el momento

Saludos

Hans el Topo · 13 Noviembre 2008, 22:15 PM

existe un "proyecto" llamado fckeditor que quizás te sirva para lo que andas haciendo, es fácil de utilizar, muy completo y muy adaptable

Dacan · 13 Noviembre 2008, 22:30 PM

No esta nada mal yo estaba haciendo un sistema pero me he quedado a medias por falta de tiempo:

http://phpdacan.freehostia.com/ver.php

Saludos, Dacan

Erik# · 14 Noviembre 2008, 13:39 PM

Cita de: Novlucker en 13 Noviembre 2008, 21:33 PM
Se supone que no acepta scripts, pero aún puedo poner etiquetas html, javascript y vbscript $:-\$ (esta vez lo he borrado XD) en las nuevas noticias, no así en los comentarios.
También permite crear usuarios con etiquetas de script en los nombres

Por otra parte, debería de haber un mensaje para el caso de querer registrar a un usuario con mismo nombre, aunque sean pocos, ya que al momento de registrar el nuevo usuario, con mismo nombre, te da mensaje de que se ha registrado satisfactoriamente, pero no te permite ingresar (si se ha puesto una nueva contraseña) y en el listado de usuarios aparece varias veces con un ID diferente $:-\$ (Esto último lo he dejado para que veas)

Por otra parte no se si sea adrede, pero el listado de usuarios los ve cualquiera
Eso es todo por el momento

Saludos

Lo de los usuarios ya lo se, y los de los <script> no te deja, solo muestra <##script###> o si es final <###script###> y si es meta <###META

.