[SPIP Zone] [SPIP - Contrib] [forum] Balise #SESSION pour remplacer $auteur_session

(ceci est un message automatique)

Message posté par James <james@rezo.net> à la suite de l'article «
Balise #SESSION ».

Ne repondez pas a ce mail mais sur le forum a l'adresse suivante :
http://www.spip-contrib.net/Balise-SESSION#forum402739

** Balise #SESSION pour remplacer $auteur_session

* Oui, il permet de remplacer le php : [(#SESSION{id_auteur}|?{' '})

#INCLURE{fond=article-autorise}

]

[(#SESSION{id_auteur}|?{'',' '})

#LOGIN_PUBLIC

]

mais alors, rien n'empêcherait un visiteur non authentifé d'appeler
l'adresse spip.php?page=article-autorise

l'objectif de #SESSION est de différencier les pages en fonction du
visiteur et non de déterminer les persmissions. Pour cela, il faut voir
du coté des plugins d'accès restreint... et de choisir un de ceux qui
peut s'associer avec #SESSION

http://www.spip-contrib.net/spip.php?page=suivi

bonjour,

en voulant réparer une syndication, je suis tombé sur ce site sous SPIP
http://soufron.typhon.net/

l'adresse du backend est assez louche

<link rel="alternate" type="application/rss+xml" title="Syndiquer tout le site" href="http://soufron.typhon.net/spip.php/www.china-resound/www.phonak-hearing/dist/www.oticon-hearing/www.phonak-hearing/www.china-resound/dist/spip.php?page=backend" />

ainsi que

<script src="http://soufron.typhon.net/spip.php/www.china-resound/www.phonak-hearing/dist/www.oticon-hearing/www.phonak-hearing/www.china-resound/dist/spip.php?page=jquery.js" type="text/javascript"></script>

le header indique un SPIP 192b

avez vous un avis sur la question ?
s'agit il d'une attaque XSS due à tous les widgets en javascript placés sur la page ?

--
_________________________________________
http://www.erational.org

On Mon, Feb 4, 2008 at 9:47 AM, erational <erational@erational.org> wrote:

en voulant réparer une syndication, je suis tombé sur ce site sous SPIP
http://soufron.typhon.net/
l'adresse du backend est assez louche

<link rel="alternate" type="application/rss+xml" title="Syndiquer tout le site" href="http://soufron.typhon.net/spip.php/www.china-resound/www.phonak-hearing/dist/www.oticon-hearing/www.phonak-hearing/www.china-resound/dist/spip.php?page=backend&quot; />

A l'instant c'est
http://soufron.typhon.net/spip.php/www.time.com/time/magazine/www.oticon-hearing.net/www.china-resound.com/spip.php?page=backend

avez vous un avis sur la question ?
s'agit il d'une attaque XSS due à tous les widgets en javascript placés sur la page ?

Je crois que c'est lié à un bug de SPIP sur le filtre url_absolue() :
si un INCLURE est calculé à partir de la page
http://soufron.typhon.net/spip.php/www.time.com/time/magazine/www.oticon-hearing.net/www.china-resound.com/
le filtre url_absolue($x) va partir de cette hierarchie pour calculer
sa valeur. Et comme c'est mis en cache, le visiteur suivant qui aura
le même INCLURE récupérera cette adresse erronée.

-- Fil