Development #37996: limiter le ?next_url sur la vue de code de suivi aux URL des services connus - Combo - Redmine Entr’ouvert

Development #37996

limiter le ?next_url sur la vue de code de suivi aux URL des services connus

Ajouté par Frédéric Péters il y a plus de 4 ans. Mis à jour il y a plus de 4 ans.

Statut:

Fermé

Priorité:

Normal

Assigné à:

Frédéric Péters

Version cible:

Début:

27 novembre 2019

Echéance:

% réalisé:

Temps estimé:

Patch proposed:

Oui

Planning:

Non

Description

Suite à des tests réalisés via l’outil OWASP ZAP, qui considère ça comme élevé. (dans la pratique c'est accessible uniquement en POST, je ne capte pas vraiment comment ça peut être exploité)

Fichiers

0001-wcs-disallow-redirects-to-unknown-services-after-tra.patch (3,86 ko) 0001-wcs-disallow-redirects-to-unknown-services-after-tra.patch

Frédéric Péters, 27 novembre 2019 14:18

Révisions associées

Révision 35e910d2 (diff)
Ajouté par Frédéric Péters il y a plus de 4 ans

wcs: disallow redirects to unknown services after tracking code error (#37996)

Révision 9d5fc48e (diff)
Ajouté par Frédéric Péters il y a plus de 4 ans

settings: add empty KNOWN_SERVICES (#37996)

Révision ff792192 (diff)
Ajouté par Frédéric Péters il y a plus de 4 ans

tests: update tracking code rate limit check for new domain check (#37996)

Historique

Mis à jour par Frédéric Péters il y a plus de 4 ans

Fichier 0001-wcs-disallow-redirects-to-unknown-services-after-tra.patch 0001-wcs-disallow-redirects-to-unknown-services-after-tra.patch ajouté
Statut changé de Nouveau à Solution proposée
Patch proposed changé de Non à Oui

Mis à jour par Thomas Noël il y a plus de 4 ans

Statut changé de Solution proposée à Solution validée

Dans util/misc, remplacer le premier for « settings.KNOWN_SERVICES or {} » par « getattr(settings, 'KNOWN_SERVICES', None) or {} », histoire de.

(en fait, on pourrait un jour poser un KNOWN_SERVICES={} dans les settings par défaut, ça simplifierait)

En tout cas c'est un ack, même si tu considères le getattr comme inutile (ce qu'il est).

Mis à jour par Frédéric Péters il y a plus de 4 ans

(en fait, on pourrait un jour poser un KNOWN_SERVICES={} dans les settings par défaut, ça simplifierait)

Yep, surtout que settings.KNOWN_SERVICES on le fait déjà un peu partout…

Je vais l'ajouter.

(et je garde tout ça pour vendredi)

Mis à jour par Frédéric Péters il y a plus de 4 ans

Statut changé de Solution validée à Résolu (à déployer)

commit 9d5fc48e09379afced2f2cb41e8533c88a61c7e1
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Wed Nov 27 15:15:19 2019 +0100

    settings: add empty KNOWN_SERVICES (#37996)

commit 35e910d2aa20ee37751ae4071c13777de84519d1
Author: Frédéric Péters <fpeters@entrouvert.com>
Date:   Wed Nov 27 14:18:13 2019 +0100

    wcs: disallow redirects to unknown services after tracking code error (#37996)

Mis à jour par Frédéric Péters il y a plus de 4 ans

Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF

Projet

Général

Profil

Produits Entr'ouvert » Combo

Demandes

Rapports personnalisés