https://dev.entrouvert.org/https://dev.entrouvert.org/favicon.ico?15861920342019-05-14T10:12:01ZRedmine Entr’ouvertCombo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1729832019-05-14T10:12:01ZThomas Noël
<ul><li><strong>Sujet</strong> changé de <i>trace inutile sur tentative d'url fake sur </i> à <i>trace inutile sur tentative d'url fake sur /tracking-code/ (suite à du fuzzing)</i></li></ul> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1729882019-05-14T10:20:45ZThomas Noël
<ul><li><strong>Sujet</strong> changé de <i>trace inutile sur tentative d'url fake sur /tracking-code/ (suite à du fuzzing)</i> à <i>traces inutiles fuzzing dans /tracking-code/</i></li></ul><p>Dans la même série, POST sans code :</p>
<pre>
Internal Server Error: /tracking-code/
MultiValueDictKeyError at /tracking-code/
"'code'"
Request Method: POST
Request URL: https://departement06.test.entrouvert.org/tracking-code/
Django Version: 1.11.20
Python Executable: /usr/bin/uwsgi-core
Python Version: 2.7.13
Python Path: ['.', '', '/usr/lib/python2.7', '/usr/lib/python2.7/plat-x86_64-linux-gnu', '/usr/lib/python2.7/lib-tk', '/usr/lib/python2.7/lib-old', '/usr/lib/python2.7/lib-dynload', '/usr/local/lib/python2.7/dist-packages', '/usr/lib/python2.7/dist-packages']
Server time: mar, 14 Mai 2019 11:57:15 +0200
Installed Applications:
''
Installed Middleware:
''
Traceback:
File "/usr/lib/python2.7/dist-packages/django/core/handlers/exception.py" in inner
41. response = get_response(request)
File "/usr/lib/python2.7/dist-packages/django/core/handlers/base.py" in _legacy_get_response
249. response = self._get_response(request)
File "/usr/lib/python2.7/dist-packages/django/core/handlers/base.py" in _get_response
187. response = self.process_exception_by_middleware(e, request)
File "/usr/lib/python2.7/dist-packages/django/core/handlers/base.py" in _get_response
185. response = wrapped_callback(request, *callback_args, **callback_kwargs)
File "/usr/lib/python2.7/dist-packages/django/views/generic/base.py" in view
68. return self.dispatch(request, *args, **kwargs)
File "/usr/lib/python2.7/dist-packages/django/views/decorators/csrf.py" in wrapped_view
58. return view_func(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/combo/apps/wcs/views.py" in dispatch
41. return super(TrackingCodeView, self).dispatch(*args, **kwargs)
File "/usr/lib/python2.7/dist-packages/django/views/generic/base.py" in dispatch
88. return handler(request, *args, **kwargs)
File "/usr/lib/python2.7/dist-packages/combo/apps/wcs/views.py" in post
63. code = request.POST['code']
File "/usr/lib/python2.7/dist-packages/django/utils/datastructures.py" in __getitem__
85. raise MultiValueDictKeyError(repr(key))
Exception Type: MultiValueDictKeyError at /tracking-code/
Exception Value: "'code'"
Request information:
USER: AnonymousUser
GET: No GET data
POST:
cell = u'44'
FILES: No FILES data
COOKIES: No cookie data
</pre> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1765722019-06-02T16:11:46ZFrédéric Pétersfpeters@entrouvert.com
<ul><li><strong>Fichier</strong> <a href="/attachments/34881">0001-wcs-raise-a-bad-request-when-tracking-code-is-missin.patch</a> <a class="icon-only icon-download" title="Télécharger" href="/attachments/download/34881/0001-wcs-raise-a-bad-request-when-tracking-code-is-missin.patch">0001-wcs-raise-a-bad-request-when-tracking-code-is-missin.patch</a> ajouté</li><li><strong>Statut</strong> changé de <i>Nouveau</i> à <i>Solution proposée</i></li><li><strong>Patch proposed</strong> changé de <i>Non</i> à <i>Oui</i></li></ul> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1766452019-06-03T08:56:10ZThomas Noël
<ul></ul><p>Yep. J'ai mis un peu de temps à relire parce que le ticket au départ parlait d'une alerte à cause de « url = u'file://path/to/file' ». Mais en fait ton patch est tout bien qui gère le manque de "code", que j'indiquais dans la suite du ticket. Tu peux le pousser et on laisse le ticket ouvert, je vais regarder le cas de l'URL mal formattée.</p> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1766632019-06-03T10:31:34ZFrédéric Pétersfpeters@entrouvert.com
<ul><li><strong>Statut</strong> changé de <i>Solution proposée</i> à <i>En cours</i></li><li><strong>Patch proposed</strong> changé de <i>Oui</i> à <i>Non</i></li></ul><p>Ah oui pas fait gaffe que la trace posée dans le commentaire n'était pas la même,</p>
<pre>
commit 6439c43b482c393320295aa5e0f59c4f317ecfd9
Author: Frédéric Péters <fpeters@entrouvert.com>
Date: Sun Jun 2 18:11:10 2019 +0200
wcs: raise a bad request when tracking code is missing from request (#33079)
</pre> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1766672019-06-03T10:46:18ZFrédéric Pétersfpeters@entrouvert.com
<ul><li><strong>Statut</strong> changé de <i>En cours</i> à <i>Résolu (à déployer)</i></li></ul><p>Pour la partie "unsafe redirect", plutôt hobo, j'ai créé <a class="issue tracker-2 status-5 priority-4 priority-default closed" title="Development: ne pas logguer les "Unsafe redirect" (Fermé)" href="https://dev.entrouvert.org/issues/33620">#33620</a>.</p> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1766682019-06-03T10:46:24ZFrédéric Pétersfpeters@entrouvert.com
<ul><li><strong>Lié à</strong> <i><a class="issue tracker-2 status-5 priority-4 priority-default closed" href="/issues/33620">Development #33620</a>: ne pas logguer les "Unsafe redirect"</i> ajouté</li></ul> Combo - Development #33079: traces inutiles fuzzing dans /tracking-code/https://dev.entrouvert.org/issues/33079?journal_id=1771182019-06-04T15:16:08ZFrédéric Pétersfpeters@entrouvert.com
<ul><li><strong>Statut</strong> changé de <i>Résolu (à déployer)</i> à <i>Solution déployée</i></li></ul>