Oui, je viens de tester, l'upload marche bien Pour la faille j'ai pris le code de Dsls : /admin/index.php? pf=swfupload.swf&buttonText=<a%20href=%27javascript:alert(document.cookie)%27>Click%20me</a>
et j'ai bien une réponse 403 :) Le 15 mars 2013 12:29, Franck Paul <[email protected]> a écrit : > Quelqu'un a testé la dernière nightly avec le patch de Julien ? > > Franck > > > Le 14 mars 2013 10:23, Franck Paul <[email protected]> a écrit : > >> Tout à fait, et ce que j'avais commité hier me gênait justement parce >> qu'il ne se préoccupait que de deux failles connues et de pas grand chose >> d'autre. >> >> Franck >> >> >> Le 14 mars 2013 10:22, Julien Wajsberg <[email protected]> a écrit : >> >>> En fait Franck, c'est pas une question de style. Ton patch initial est >>> assez naïf parce qu'il corrige juste l'exemple spécifique donné et non pas >>> le fond du problème: swfupload traite mal les entrées qui viennent de l'URL. >>> >>> Et finalement on sait pas non plus ce que font les autres swf de >>> Dotclear, pour autant qu'on sache ils ont peut-être des problèmes aussi, >>> donc autant être strict si on le peut :) >>> >>> C'est plus clair ? >>> >>> Le 14 mars 2013 09:42, "Franck Paul" <[email protected]> a >>> écrit : >>> >>>> Perso j'ai pas de religion, si le fix de Julien est plus mieux élégant >>>> que celui que j'ai commité, je prends et je commit de ce pas :-) >>>> >>>> Par curiosité, y'a quoi dans le source de test_flash.php Julien ? >>>> >>>> Franck >>>> >>>> >>>> Le 14 mars 2013 09:34, Julien Wajsberg <[email protected]> a écrit : >>>>> >>>>> 2013/3/14 Julien Wajsberg <[email protected]> >>>>>> >>>>>> >>>>>> 2013/3/14 Dsls <[email protected]> >>>>>>> >>>>>>> > >>>>>>> > Si je ne me trompe pas, candyUpload utilise les flashVars, donc un >>>>>>> > autre >>>>>>> > mécanisme ? >>>>>>> > (d'ailleurs ce mécanisme est peut-être aussi attaquable, tiens :) ) >>>>>>> > >>>>>>> > Je viens de vérifier sur une aptre page (pas directement sur DC) et >>>>>>> > je ne >>>>>>> > vois pas les flashVars passer dans l'URL. >>>>>>> > Du coup, je pense que ça vaut le coup de tester ce fix, et je vais >>>>>>> > même le >>>>>>> > faire tout de suite chez moi :p >>>>>>> >>>>>>> Tu me fais douter, tiens. Si ton patch fonctionne et permet toujours >>>>>>> d'utiliser swfupload, alors on l'intègre fissa, oui :) >>>>>> >>>>>> >>>>>> ça marche chez moi (tm). >>>>>> En tout cas, le bouton a bien un intitulé en français :) et la faille >>>>>> fait du 403 chez moi. Mais testez aussi hein ! >>>>>> >>>>>> maintenant je vais tenter une bête page avec un objet et un flashVars >>>>>> qui contiendrait les strings pourries. >>>>> >>>>> >>>>> => https://everlong.org/blog/test_flash.php >>>>> >>>>> on dirait pas que ça fonctionne en utilisant directement les flashVars, >>>>> tant mieux. >>>>> >>>>> Bon donc j'aimerais bien voir mon fix plutôt que celui de Franck svp :) >>>>> >>>>> -- >>>>> Julien >>>>> >>>>> >>>>> _______________________________________________ >>>>> Dev mailing list - [email protected] - >>>>> http://ml.dotclear.org/listinfo/dev >>>> >>>> >>>> >>>> _______________________________________________ >>>> Dev mailing list - [email protected] - >>>> http://ml.dotclear.org/listinfo/dev >>> >>> >>> _______________________________________________ >>> Dev mailing list - [email protected] - >>> http://ml.dotclear.org/listinfo/dev >> >> > > > _______________________________________________ > Dev mailing list - [email protected] - > http://ml.dotclear.org/listinfo/dev -- Philippe _______________________________________________ Dev mailing list - [email protected] - http://ml.dotclear.org/listinfo/dev
