Toggle sidebar
  • Regolamento Macrocategoria DEV
    Prima di aprire un topic nella Macrocategoria DEV, è bene leggerne il suo regolamento. Sei un'azienda o un hosting/provider? Qui sono anche contenute informazioni per collaborare con Sciax2 ed ottenere l'accredito nella nostra community!

Guida Abilitare HTML nell'User Title

vinnythebest

vinnythebest

Utente Mitico
Autore del topic
27 Dicembre 2007
6.780
148
Miglior risposta
0
Ciao!
Ho postato questa guida anche su MyBB.com per gli utenti meno esperti. Grazie a @Dvdxseo!
Tutto è molto semplice, niente di difficile, da un paio di versioni l'HTML/BBCode sono disabilitati nei User Title, e bene si può abilitare l'HTML!

Aprite FileZilla o qualsiasi altro software che utilizzate per l'FTP, andate in questa directory:

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Apritela con Blocco Notes o meglio con Notepad++ e andate alla riga 269. Vi ritroverete questo codice:

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Cambiatelo con:

Codice:
Perfavore, Entra oppure Registrati per vedere i codici!

Ora nel Admin Control Panel potrete mettere il titolo in HTML con l'immagine e le stelle lasciarle stare, nel forum comunque con quel totale messaggi che avete predisposto si vedrà la modifica e quindi l'immagine o il codice html che avete inserito. Ad esempio questo è il mio risultato:

04b0e-43addd01-76ab-4643-bf60-2501ce0fc7cd.png


ATTENZIONE!: Secondo il forum di MyBB.com e lo staff che ha risposto alla stessa guida che ho postato sul loro forum, se date all'utente il permesso di modificare il suo titolo personale è vulnerabile agli XSS!
 
Quella modifica, a tutti gli effetti, elimina solo il filtro per evitare un tipo di vulnerabilità molto noto e presente, l'XSS appunto. Praticamente hai esposto il tuo forum, e tutti gli utenti, a una vulnerabilità facilissima da sfruttare. Per fare quello che vuoi tu potresti passare per i template, creare un plugin che lavori con gli hook o abilitare solo codice proveniente dal pannello degli admin.

Praticamente è una guida su come rendere facilmente il forum vulnerabile e le vostre sessioni amministrative a rischio, con tutto quello che ne comporta.
 
Scanetatore ha detto:
Quella modifica, a tutti gli effetti, elimina solo il filtro per evitare un tipo di vulnerabilità molto noto e presente, l'XSS appunto. Praticamente hai esposto il tuo forum, e tutti gli utenti, a una vulnerabilità facilissima da sfruttare. Per fare quello che vuoi tu potresti passare per i template, creare un plugin che lavori con gli hook o abilitare solo codice proveniente dal pannello degli admin.

Praticamente è una guida su come rendere facilmente il forum vulnerabile e le vostre sessioni amministrative a rischio, con tutto quello che ne comporta.
Clicca per espandere...

Infatti ho ben scritto tutto nell'attenzione, a parte ciò, l'utente deve comunque avere accesso a quella modifica :emoji_slight_smile:
 
Ultima modifica:
Devi accedere o registrarti per rispondere qui.
 
 
Top
Indietro