XSS

edited diciembre 2007 in Bugs y Problemas
hay un bug en la pagina de error donde se despliega cuando no existe algun metodo


supongamos asi

<!-- m --><a class="postlink" href="http://localhost/Fmedicos/">http://localhost/Fmedicos/</a><!-- m -->><plaintext>

en donde la path Fmedicos es el reemplazo del nombre de kumbia-*

la version que estoy usando es la estable

no estan grave pero es un bug que se deberia de corregir Xd

bueno esta es la imagen

xssxl1.th.png

la correcion es en el archivo kumbia.php

en la linea 248

solamente pasarle ala variable strip_tags() o addslashes bueno ustedes ya saben no tiene caso decirlo

pero bueno es aqui
throw new kumbiaException&#40;&quot;
						No se encontr&amp;oacute; el Controlador \&quot;&#123;$_REQUEST&#91;'controller'&#93;&#125;\&quot;&quot;,
						&quot;Hubo un problema al cargar el controlador, probablemente
						el archivo no exista en el directorio de m&amp;oacute;dulos &amp;oacute; exista algun error
						de sintaxis&#46; Si desconoce la naturaleza
						de este mensaje consulte con el administrador del sistema&quot;&#41;;
						return false;

la variable $_REQUEST no se limpia en ningun momento

espero haberles ayudado <!-- s:) --><img src="{SMILIES_PATH}/icon_smile.gif" alt=":)" title="Smile" /><!-- s:) -->

buen trabajo

Comentarios

  • edited 6:48
    otro bug en los formularios

    al momento de hacer alguna consulta desde un formulario usando el ejemplo que ponen en el libro

    sobre la tienda

    usando este codigo
    <?php
    class Productoscontroller extends StandardForm {
    public $scaffold = true;
    }
    ?>

    y este otro
    <?php
    class Productoscontroller extends StandardForm {
    public $scaffold = true;
    }
    ?>

    ala hora de adicionar algo ala base de datos si se pone en los campos supongamos

    ><plaintext>

    en cada uno de los campos ala hora de hacer una consulta o visualizar la informacion se destruye y solamente se ve el codigo fuente para corregir esto se puede usar la funcion...

    strip_tags();

    para limpiar las variables

    o usar esta otra que es nueva y es para php 5

    filter_input();

    añadiendole los parametros

    ese es el bug que podria ser algo molesto
Sign In or Register to comment.