Changeset 43303 in spip-zone


Ignore:
Timestamp:
Jan 2, 2011, 9:32:22 PM (10 years ago)
Author:
fil@…
Message:

0.9.5 page non trouvee xss : http://core.spip.org/trac/spip/changeset/16880

File:
1 edited

Legend:

Unmodified
Added
Removed
  • _core_/securite/ecran_securite.php

    r43300 r43303  
    66 */
    77
    8 define('_ECRAN_SECURITE', '0.9.4'); // 2 janv 2010
     8define('_ECRAN_SECURITE', '0.9.5'); // 2 janv 2010
    99
    1010/*
     
    138138/*
    139139 * Bloque une vieille page de tests de CFG (<1.11)
    140  */
    141 if (isset($_REQUEST['page']) AND $_REQUEST['page']=='test_cfg')
    142         $ecran_securite_raison = "test_cfg";
     140 * Bloque un XSS sur une page inexistante
     141 */
     142if (isset($_REQUEST['page'])) {
     143        if ($_REQUEST['page']=='test_cfg')
     144                $ecran_securite_raison = "test_cfg";
     145        if ($_REQUEST['page'] !== htmlspecialchars($_REQUEST['page']))
     146                $ecran_securite_raison = "xsspage";
     147}
    143148
    144149/*
Note: See TracChangeset for help on using the changeset viewer.