Перед созданием новой темы, пожалуйста, ознакомьтесь с FAQ по LinkorCMS

Фикс бага с картинкой.

Супер пользователь
Сообщений: 62
как можно ограничить сайты, с которых можно вставлять картинки на форум? дело в том что можно провернуть баг с basic-авторизацией. в качестве картинки вставляют ссылку на php-скрипт, запрашивающий basic-авторизацию. при просмотре сообщения с этой "картинкой" пользователь видит окно где требуется ввести логин и пароль и ошибочно принимает это за авторизацию на форуме, вводя логин и пароль. эти данные могут быть отправлены злоумышленникам(если реализовать это в скрипте). так же хотелось бы уточнить, если ли на форуме CSRF уязвимости? есть ли проверка referer-а или token-ы для подтверждения действий?
Разработчик
Сообщений: 605
Картинки вставляются с помощью ббкода. Можно вмешаться в парсер (\base\inc\system\bbcode.php) или, чтобы не трогать его, самому при сохрании сообщения распарсить тег img (на данный момент это не сложно, так как парсер сейчас работает на регулярных выражениях. этот способ на мой взгляд лучше, то же самое можно проделать и с классом комментариев. но можно и модифицировать парсер, тогда такие картинки вставить будет можно, но они будут резаться при выводе).

Каких-либо особых мер вроде проверка рефереров (кстати, не слишком надежный способ. легко подделывается, так как его отправляет клиент в заголовках запроса) или токенов нет. Используется форма для подтверждения действий, которая отсылается через POST.

Тут есть еще два нюанса. У пользователей нет средств для модерации форума. Думаю, что человек, который ими владеет, хоть что-то знает об обманах. Да и современные браузеры вполне могут защищать от подобных аттак.
Гости не могут отвечать на темы. Войдите или Зарегистрируйтесь.
Здесь присутствуют
(пользователей: 0, гостей: 1)
Быстрый переход: