Home › Forum › Problemi Vari con WP › javascript nel campo autore dei commenti
-
AutorePost
-
-
2 Marzo 2006 alle 9:58 #1143mauroPartecipante
qualche buontempone è riuscito a fare aprire dei popup inserendo una stringa con il comando “alert” nel campo autore dei commenti.
ovviamente ho subito messo nella blacklist la parola “alert” e il suo IP.
su wordpress 1.5.2
è uno scherzo noto?
-
2 Marzo 2006 alle 10:07 #37400Mara82Partecipante
Ciao mauro! Potresti dirmi come hai fatto a mettere quegli smile nella sezione dei commenti? Anche io li voglio!! Sono bellissimi!
Un bacio
Mara
-
2 Marzo 2006 alle 10:24 #37401mauroPartecipante
alcuni li ho fatti io, altri li ho presi in giro per la rete. per usarli ho messo wp-grins.
http://www.alexking.org/software/wordpress/
tornando on topic:
ho catturato la stringa usata dallo spammer:
“>alert(String.fromCharCode(80,111,67,32,111,102,32,87,111,114,100,80,114,101,115, 115,32,98,121,32,75,52,80,48,32,102,114,111,109,32,78,83,84)) |
-
2 Marzo 2006 alle 10:26 #37402mauroPartecipante
un’altra stringa usata:
“>alert(document.cookie)
-
2 Marzo 2006 alle 10:42 #37403SteveAglAmministratore del forum
Non sono certo sia un problema noto, sto verificando sulla 2.0.1 ora… aggiornamenti a breve. Grazie per la segnalazione
-
2 Marzo 2006 alle 10:50 #37404SteveAglAmministratore del forum
Il difetto non appare se inserisco la stringa da te indicata nel campo nome con la 2.0.1, il commento non viene nemmeno accettato ma la stringa viene replicata accanto al campo Nome al ricaricamento della pagina.
Se mi invii le varie stringhe che ha trovato per email cosଠda poter fare dei test approfonditi sarebbe meglio (info@wpitaly.it) grazie
-
2 Marzo 2006 alle 12:16 #37406mauroPartecipante
altre non ne ho, ma l’anonimo che ha inserito i commenti mi ha risposto cosà¬:
Ciao, non solo in nome ma anche in pagina web c’è questa vuln.
Mettendo alert come parola vietata non otterresti nulla perche’ la si puo’ scrivere in esadecimale.
Ho solo voluto provare questo bug ma non farei mai nulla che possa nuocere al blog.
-
2 Marzo 2006 alle 13:16 #37410SteveAglAmministratore del forum
si potrebbe fare un plugin che catturi queste parole vietate anche se vengono scritte in esadecimale.
-
-
AutorePost
- Devi essere connesso per rispondere a questo topic.