CrackerT 5.2.: "ataque" al postear o crear nuevo tema

[SuperNovato]

Perdón por la tardanza en contestar, pero la vida es la vida y no siempre permite entrar a los foros

El archivo que pides, Mitch, te lo dejo en http://www.pazyjusticia.org/posting_body.zip

En lo que dices que leiste, no sé si te refieres a lo que aporta mik en el tema que abrí en el foro de CBack.
Si es eso, yo lo leí... pero no em entero de nada jajaja
En fin, dejaremos el asunto en tu mano SuperExperta (que, encima, debe andar de exámenes. Asias ).

[mitch]

SuperNovato, lo mismo que le dije a MadreWicca en otro tema, en el archivo /ctracker/engines/ct_security.php
Buscar:

Código: Seleccionar todo

	$unchecked_fields   = array('username', 'password', 'subject', 'message',

Agregar en una nueva linea:

Código: Seleccionar todo

'topic_desc','ft','fs','fc',

Haber si con eso te va. Nos vemos

[SuperNovato]

Juer, Mitch: te van a tener que contratar los de Cback jejeje

¡¡Perfectamente!!
Por lo menos a primera vista no aparece ninguna cosa rara, y ya se puede postear desde el "publicar respuesta" y abrir un nuevo tema sin que el CT te diga que tienes pinta de gusano ("worm" ).
Un 10 para ti, Mitch. Y un gracias enoooooooooooorme (y ni sé cuántos llevas ya jejeje).

Un duda tonta para ti, Mitch, o para cualquiera que la sepa (y sin prisa en que se responda, que es sólo para ir aumentando conocimientos).

Esa parte del /ctracker/engines/ct_security.PHP a la que hay que añadir lo que dices arriba,
pone que:

Código: Seleccionar todo

// Some fields in $HTTP_POST_VARS don't get checked to prevent wrong detection

Por tanto, creo entender que lo que hace tu añadido es decirle al CT que NO revise (además de lo que ya dice allí) cuatro cosas:
la descripción del tema y... ¿y qué más? ¿A qué se refiere ft, fs y fc?

Ya digo, ninguna prisa en contestar.
Y gracias de nuevo.

[mitch]

Gracias SuperN si lo que hago no es más que lo que decían las FAQ de cback.
Claro, lo que puse allí son los campos que ctracker no debería analizar de forma tan, mm, rigurosa por así decirlo.
Está la descripción del tema (es un mod, no viene con phpBB, para los que leen), y ft,fc y fs, son las tres listas desplegables que aparecen en la respuesta, de elegir color, fuente y tamaño (colocadas por Bbcode box mod, a mi tambien me dieron problemas en mi foro de pruebas, agregué todos los campos y los que daban problemas eran esos).




y como le decía a MadreWicca en otro tema, basta con mirar el código de fuente, y buscar los <input.... name="xx" y agregar 'xx' a esa lista.
Nos vemos SuperN

[SuperNovato]

Mira, un poquito más que sé.
Gracias a ti.

[SuperNovato]

No sé si debía abrir un tema nuevo con lo que voy a decir,
pero es que supongo que la solución (si la hay) va en la misma línea de lo que aportó antes Mitch.

Ahora que ya se ha arreglado el abrir un nuevo tema o publicar respuesta...
...¡resulta que el problema aoparece donde antes no aparecái: en la respuesta rápida!
Pero lo que me alucina es que no ocurre siempre. Es como si le dieran venazos jejeje
La mayoría de las veces puedes usar la respuesta rápida. Pero, sin que logre descubrir por qué, usas la respueta rá`pida y el CT te dice que tururú, que posible ataque.

¿Habría que añadir algo parecido a lo que se dijo arriba de añadir?

Aunque lo comenté en el primer post, para que no haya que andar navegando recuerdo que lo que yo tengo instalado es el:
+ Quick Reply with Quote 1.1.5
+ Descargado de http://smartor.is-root.com/viewtopic.php?t=1812
+ Y que modifica tres archivos: viewtopic.php, language/lang_XX/lang_main.php, y templates/subsilver/viewtopic_body.tpl

PD. Cricket comentó arriba este mismo problema, pero no sé si su MOD es el mismo.

[mitch]

Viendo el código de fuente de tu página, esa respuesta rápida tiene varios "inputs", cuyos "name=" son los que agregamos a ese archivo (ct_security.php)

Código: Seleccionar todo

	<input name="quick_quote" type="checkbox">Citar el último mensaje<br>

	<input name="attach_sig" checked="checked" type="checkbox">Adjuntar firma (la firma se puede cambiar en el perfil)<br>
	<input name="mode" value="reply" type="hidden">
	<input name="sid" value="40c103d436d761ab9b020b438c44efeb" type="hidden">
	<input name="t" value="349" type="hidden">
	<input name="message" value="" type="hidden">
	<input name="notify" value="0" type="hidden">
	<input name="last_msg"

Intenta agregar esto entonces a ese archivo (tal como te dije en el mensaje anterior, en una nueva linea):

Código: Seleccionar todo

'quick_quote','input','attach_sig','sid','t','notify',

(faltan "inputs" como ves, no son todos los que aparecen en el primer mensaje... es porque algunos de ellos ya están en la lista del ct_security, hay que agregar los que no).
Intentalo y me comentas

[SuperNovato]

Hecho. Ya digo que como no ocurría siempre, no puedo decir ya si funciona o no.
Pero dado el maestro que ha aportado la solución, estoy seguro de que sí.
Espero unos días y lo confirmo.

No sé de dónde has sacado el name 'input'
Pero, en todo caso, gracias, Mitch, no sólo por dar la solución,
sino por enseñar de dónde viene.
A ver si para la siguiente (¡que espero que no ocurra!) intento descubrir yo la solución
(eso sí, aunque crea haberla descubierto, preguntaré antes por si las moscas jajaja).

Asias.

[SuperNovato]

Confirmo, confirmo: funciona perfectamente jejeje
Espero que a cricket también le haya servido.
Eso, Mitch: un artista

[daniel-gara]

muchas gracias por la ayuda me a servido demasiado... pero supernovato puedes colocar el resto de inputs q pueden ocasionar problemas... pues para ponerlos en la lista.... pero si con los anteriores son necearios no importa....

gracias de todos modossss.. y felicitaciones por el foro me a sido de gran ayuda

[leonpro]

Hola

estoy buscando en el código fuente de mi pagina,(escribir mensaje), aver si encontraba los input de mi Advanced BBCode Box v5.0.0,para agregarse los pero no se cuales son

por ejemplo,me salta el mensaje de alarma cuando intento poner un vídeo

un saludo

[mitch]

leonpro, dudas nuevas en temas nuevos, este tema esta Solucionado.

[leonpro]

perdón

mañana lo intentaré ver más claro