XSS Vulnerability in IFrame Code in phpBB2 Plus 1.5x

phpBB2.de User Anmeldungsdatum: 13.11.2002 Beiträge: 562

Den letzten Code finde ich so nicht.
Aber ich habe folgendes entfernt:

Code:

Ist das so richtig? Embarassed

Mail an Admin · Support Team Member Anmeldungsdatum: 26.11.2004 Beiträge: 1218

Jap, das ist so richtig Wink

phpBB2.de User Anmeldungsdatum: 13.11.2002 Beiträge: 562

Dankifein. Wink

phpBB2.de User Anmeldungsdatum: 23.05.2005 Beiträge: 1

Thanks very Much it is greatly appreciated that so many people take the time to provide this wonderful addition to phpBB2.

phpBB2.de User Anmeldungsdatum: 27.11.2003 Beiträge: 994 Wohnort: sLOVEnia

Is there somebody trying to fix tihs bcc code.

phpBB2.de User Anmeldungsdatum: 21.05.2004 Beiträge: 444 Wohnort: Waldenburg

there is no possibility to fix this bbcode because this is a browser problem - if you use iframes on a page the context of the iframe is shown in user context... anybody could create a page which does something bad with user or user cookies ... and there is no possibility to control pages which are posted with [web] ...

there will never come a fix... only fix is to give the right to post web bbcode to special users or an user group ... --> i gave it to administrators (simply fixed by 2 lines:

Code:

//only admin - check
global $userdata;
if ($userdata['user_level'] == ADMIN)
{
... here the [web] bbcode lines
}
//else do nothing

... but i don't know wether it is good to have $userdata as a global in the bbcode functions Wink

... so disabling ist the best 4 most Cool

Pete®

p.s. sorry 4 bad english i'm from germany ^^

Write [web][/web] as guest and now look as Admin and bong "the trap beats close" (Die Falle schlägt zu LOL) Very Happy

phpBB2.de User Anmeldungsdatum: 21.05.2004 Beiträge: 444 Wohnort: Waldenburg

in my forum no guest have right to post anything... Smile

and why should a guest pass the condition if ($userdata['user_level'] == ADMIN ) ... how should he do it? Wink

Pete®

Mail an Admin · Support Team Member Anmeldungsdatum: 26.11.2004 Beiträge: 1218

If a guest/user/mod, anyone who has a lower userlevel than 1 (admin), uses [web][/web] in a post, it will be shown as plain text.
BUT it will be parsed if the admin is reading the post and bong "the trap beats close" Very Happy

______________________________________________________________________________________

Das Problem ist, wenn der Gast [web]http://www.phpbb2.de[/web] schreibt, steht es so da, wird also nicht geparst.
Sieht sich der Admin den Beitrag an, wird es allerdings geparst!
Das gilt natürlich für Mitglieder und Moderatoren auch, wie cback schon sagte, kommt der Admin "bong 'the trap beats close"' Very Happy

______________________________________________________________________________________

Google trans.:

The problem is, if the guest [ web]http://www.phpbb2.de[/web ] writes, stands it so there, is thus not geparst. If the Admin regards the contribution, it is however geparst! That applies naturally to members and moderators also, as cback already said, comes the Admin "bong ' the trap beats CLOSE" ' Very Happy

phpBB2.de User Anmeldungsdatum: 21.05.2004 Beiträge: 444 Wohnort: Waldenburg

nope i changed the code that the bbcode_first_pass use this check... so an admin can post the web bbcode and all others can see the iframe... Smile

... onlye admin can post it!!! only if i "quote" and send it again the web will be parsed... Wink

which admin should do so? *g*

Pete®

Ah you have done this in BBCode ID System? Okay then... Wink

I thought you just used this into the parser itself.

phpBB2.de User Anmeldungsdatum: 21.05.2004 Beiträge: 444 Wohnort: Waldenburg

hmmm mal zurück auf deutsch *g* ich habe in der bbcode.php in der first pass eingebaut, dass der web teil nur geparst wird wenn ein admin zugange ist... -> also kann ein gast meineserachtens nix anstellen selbst wenn er [web] ... postet wird ja nicht nochmal "first_pass" "gemacht" sondern nur second pass für die richtige anzeige... jo und second pass wird ungeparsten [web] nicht darstellen sondern nur einen der schon vorbereitet wurde *hoffdasdasstimmt* ...

Pete®

p.s. ist mein englisch soooo schlecht? Sad

*übenmuss*

Ja, das kann man auch so machen weil ohne die BBCode UID läuft nichts. Ich habe das erst so aufgefasst (wie ich es schon mal hier irgendwo gelesen habe) dass jemand beim Verarbeiten das davorsetzte, das first pass wird natürlich dann auch bei Gästen oder Registrierten Usern ausgeführt. Wenn mans aber mit der Befugnis gleich bei First Pass definiert sollte es funktionieren, zumindest so lange bis der Admin "Edit" drückt und dann wieder absendet (also nen Beitrag von einem der das Probiert hat).

Keine Ahnung obs nich welche gibt die das dann machen wenn [web] nicht umgesetzt wurde, also raus is das beste, aber wer sich auskennt und darauf nicht verzichten kann/will der kanns auch so machen wie Du, da bsteht kein Risiko.

phpBB2.de User Anmeldungsdatum: 21.05.2004 Beiträge: 444 Wohnort: Waldenburg

gut

dann belassen wir es dabei und ich werde den code nicht posten - wer sich im phpBB auskennt bekommt das in 2min auch selber hingefrickelt *g*,

eigentlich hätte es gereicht nur die first pass zu bearbeiten? so gehen ja die iframes von früher nicht verloren? Smile

- falls man keine neuen haben mag... Cool

Pete®

Also die bereits geposteten bleiben dabei stehen, logisch, allerdings wenn das Board noch läuft, waren die bereits geposteten ohne mögliche Gefahren. Wink

Kann höchstens noch nachträglich geändert werden, wenn bei den verlinkten Seiten die Seite die verlinkt wurde geändert wird. *grinz*