Scroll TextHTML/PHP EXPLOIT di DRUPAL
Oleh: samu (Wed, 2008-07-16 09:39).
Kemaren teman saya memperingatkan saya akan HTML/PHP INJECT EXPLOIT.... nah saya pikir gak ada salahnya saya berbagi di sini... Ada sebuah script yg jika di input ke ruang komentar/kemanapun maka otomatis page akan diarahkan ke web tujuan. Jadi sementara ini saya berkesimpulan mending INPUT FORMAT untuk comment di bikin Filtered HTML aja gak usah Full HTML dari pada bahaya.... saya bingung mau nyontohin scipt ini dimana.... silahkan cek Scriptnya saya inject ke halaman komentar mohon pencerahan dan tanggapan. thx to def3ctbyte »
|
|
|||||
Re: HTML/PHP EXPLOIT di DRUPAL
samu, rupanya di D5.8 bug ini masih ada, memang kaia input format Filtered HTML bisa membantu tetapi jika komentar tsb sudah terlanjur di set sebagai Full HTML maka harus diubah ke Filtered HTML.
Cara cepat mengubah format Full HTML ke Filtered adalah:
UPDATE comments SET format=1 WHERE format=3
kode di atas dijalankan langsung di MySQL. Tapi akibatnya semua comment yg memerlukan Full HTML akan terfilter :( kacian dech.
Re: HTML/PHP EXPLOIT di DRUPAL
Ya memang ada baiknya jika semua input yang berasal dari pengunjung luar atau tidak terdaftar menggunakan format Filtered HTML.
Kalau pun mau lebih ketat lagi buat sebuah input format yang benar-benar terbatas bagi 'outsider'.
www.erakomputer.com