Development #37996
limiter le ?next_url sur la vue de code de suivi aux URL des services connus
0%
Description
Suite à des tests réalisés via l’outil OWASP ZAP, qui considère ça comme élevé. (dans la pratique c'est accessible uniquement en POST, je ne capte pas vraiment comment ça peut être exploité)
Fichiers
Révisions associées
settings: add empty KNOWN_SERVICES (#37996)
tests: update tracking code rate limit check for new domain check (#37996)
Historique
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Fichier 0001-wcs-disallow-redirects-to-unknown-services-after-tra.patch 0001-wcs-disallow-redirects-to-unknown-services-after-tra.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Thomas Noël il y a plus de 4 ans
- Statut changé de Solution proposée à Solution validée
Dans util/misc, remplacer le premier for « settings.KNOWN_SERVICES or {} » par « getattr(settings, 'KNOWN_SERVICES', None) or {} », histoire de.
(en fait, on pourrait un jour poser un KNOWN_SERVICES={} dans les settings par défaut, ça simplifierait)
En tout cas c'est un ack, même si tu considères le getattr comme inutile (ce qu'il est).
Mis à jour par Frédéric Péters il y a plus de 4 ans
(en fait, on pourrait un jour poser un KNOWN_SERVICES={} dans les settings par défaut, ça simplifierait)
Yep, surtout que settings.KNOWN_SERVICES
on le fait déjà un peu partout…
Je vais l'ajouter.
(et je garde tout ça pour vendredi)
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit 9d5fc48e09379afced2f2cb41e8533c88a61c7e1 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Wed Nov 27 15:15:19 2019 +0100 settings: add empty KNOWN_SERVICES (#37996) commit 35e910d2aa20ee37751ae4071c13777de84519d1 Author: Frédéric Péters <fpeters@entrouvert.com> Date: Wed Nov 27 14:18:13 2019 +0100 wcs: disallow redirects to unknown services after tracking code error (#37996)
Mis à jour par Frédéric Péters il y a plus de 4 ans
- Statut changé de Résolu (à déployer) à Solution déployée
wcs: disallow redirects to unknown services after tracking code error (#37996)