Editeur Markdown encore vulnerable...

negreen
Suggestion d'améliorations pour le site

Salut, bon boulo Bro, j'ai tester un peu l'editeur markdown et j'ai remarque qu'il est encore vulnerable. Je peux pas citer comment just par mesure de securite, mais je sais de que je parle.

Encore du bon boulo

6 réponses

wYm

Salut @ZooBoole, est ce que tu pourait etre plus precis s'il te plait ? Je ne travaille pas sur l'editeur, mais c'est juste pour gagner du temps, parceque comme ca, on (je parle surtout pour moi :p) ne voit pas de quoi tu veut parler, un screen serait le bienvenue :).

Lartak

Bonsoir.
Je ne sais pas à qui tu parles, car je ne connais pas de Bro, ce n'est ni le pseudo, ni le prénom, de l'administrateur du site grafikart.fr, ni le diminutif d'un des deux.
Ensuite, sois un peu plus précis en quoi l'éditeur Mardown est vulnérable niveau sécurité, car de plus, ça m'étonnerait que Jonathan envoie le contenu posté par les champs utilisant l'éditeur Markdown en brut dans la base de données, il doit en parser et en nettoyer le contenu lorque c'est nécessaire.
Il est quand même dangereux de sous-estimer Jonathan :P.

negreen
Auteur

Je faisais allusion a ceci .

Je sais pas si l'image va s'afficher, au cas ou se sera le cas testez just ceci:

<script>alert(document.cookie)</script>

@Lartak11, je sousestime pas Jonathan. j'attirais juste son attention; j'accepte qu'il ne pourrais pas juste consommer les donnees sans les sanitizer(desoler l'anglais me derange un peu). J'ai pas pousser dans la recherche mais, donc il faut considerer comme juste une petite alert.

Lartak

En quoi tu appelles ceci de la vulnérabilité au niveau de la sécurité ?
Il ne se passe absolument rien, notamment concernant ta ligne avec la balise script, le rendu de ta balise est entourée de la balise code, je ne vois pas en quoi cela poserait le moindre soucis niveau sécurité.
Il n'y a donc aucune alerte qui s'affiche sur la page.
N'oublies pas qu'il y a du traitement php après la soumission du formulaire.

negreen
Auteur

Je parle pas de l'editeur utiliser au niveau du forum ici, je parle de celui utiliser pour proposer des tutos ( dans ton espace membre), ce script que je viens de proposer ici va bel et bien alerter ton cookie.

Lartak

Je ne vois pas la différence entre ici et celui de l'espace membre, ils peuvent tous les deux subir un traitement php lors de la soumission du formulaire.
Ensuite, il n'y a rien pour proposer des tutoriels dans l'espace membre, il n'y a qu'un système d'article qui n'a rien à voir avec la proposition de tutoriels pour le site.
Vous pouvez ici proposer un article en rapport avec la création ou la gestion d'un site internet. Ces articles seront consultés par une équipe de loutres expertes, si votre article est intéréssant il sera alors publié sur le site.
Pour terminer : ce script que je viens de proposer ici va bel et bien alerter ton cookie., je n'ai rien de tel, étant donné que ta ligne, n'est pas considéré comme un script, car comme je te l'ai dit, il est entouré de la balise 

<code>...</code>