http://www.itaipu.gov.br - Baches de seguridad

Events happening in the community are now at Drupal community events on www.drupal.org.
Posted by dariogcode on November 26, 2007 at 4:54pm

Recientemente he visto que se publican los mejores sitios echos en drupal LINK, he observado algunos y me detuve en este que me gustó: http://www.itaipu.gov.br

No estoy criticando, pero si destacando algunas errores, que si yo los cometiera, me gustarìa que me lo hagan saber:

1). En el menu de navegación izquierdo cada link pasa como parametros un nombre de archivo correspondiente a una foto, ¡si!, ni siquiera un id o un hash, un nombre... y que resulta de esto?, una posible inyección de codigo no deseado, ejemplos:
(copiar y pegar)

En esta insertamos una imagen
http://www.itaipu.gov.br/?q=node/1450&foto=%22%3E%3Cimg%20src=%22http://...

En esta insertamos un codigo javascript
http://www.itaipu.gov.br/?q=node/332&foto=%22%3E%3Cscript%3Ealert('HOLA%20!!!%20cookies%20podr%E1s%20ser%20enviadas,%20aguante%20el%20grupo%20de%20drupal%20argentina!!!')%3C/script%3E

2). Cada link en la home tiene su referencia a un nodo y aparte a un id de noticia, entonces??? que es drupal sino un gran conjunto de información centralizada a través y por los nodos?, los node/ soporta mas argumentos node//2 y con nodeapi o form_alter podremos manipularlo de una mejor manera.

No todo es mala onda!, el sitio me parece estupendo con buena información y con un excelente diseño.

Saludos!!!!

Argentina

Group organizers

Group notifications

This group offers an RSS feed. Or subscribe to these personalized, sitewide feeds:

AltStyle によって変換されたページ (->オリジナル) /