Conversation:
Notices
-
Grymt! Jag ville bara förklara litegrann så att nästa gång jag kastar lösryckta patchar utanför #githubfängelset så kan jag även hänvisa dig till den instruktionen ;)
Ska kika in patchen, den är säkert fett grym. Snöstormskärlek från #Norrland! <3
-
@hannes2peer Du måste köra motsvarande htmlspecialchars på data du trycker i HTML :/
i typ hela qvitter.js där data från databasen (description, location...) visas för användare. #XSS
-
Något à la detta borde lösa tricket: https://stackoverflow.com/questions/1787322/htmlspecialchars-equivalent-in-javascript
-
profilsidans beskrivning och så verkar vara outputas i dom-functions? *fixar lite i förväg*
-
fullname, description, location verkar vara de sårbara sakerna i alla fall
behöver fixas för både profilkort och grupprepresentationer, i profilsida såväl som notislistor etc. etc.
Men du kan säkert det där. Behöver du hjälp med något av det?
-
@hannes2peer Heh, ok. Det gäller väl även stuff som notis-innehåll och så... I !gnusocial 's kod så använder vi XML-outputs hela tiden som själva kodar om till icke-sårbart stuff. Inte strängpåsträngpåsträng.
-
http://q.zash.se/f1a4c3659f48.txt verkar lösa den mest akuta tofubiffen, men jag vet inte om jag missat någonstans.
-
@hannes2peer Sorry, I had missed one of the fullnames there: http://q.zash.se/166130ffdc76.txt
...but there are many more attack vectors left ;)
-
Cool. Jag märkte att det där var svårt att applicera, men här är ett exempel:
user@patcharen:~/Qvitter$ git show | curl --data-binary @- http://q.zash.se/
[URLfrånq.zash.se]
user@mottagaren:~/Qvitter$ curl [URLfrånq.zash.se] | patch -p1
[patching file ...]
-
(de länkar jag hade var 'git diff' och inte 'git show', vilket gjorde att 'patch' hostade lite när man matade den med datat...)
-
@hannes2peer verkar funka på https://quitter.es/prompt
MMN-o ✅⃠
All Hacker Poesy content and data are available under the