Project

General

Profile

Bug #53716

Ne pas afficher le message invalide sur un pépin SAMLv2

Added by Thomas Noël 13 days ago. Updated 10 days ago.

Status:
Solution déployée
Priority:
Normal
Assignee:
Category:
-
Target version:
-
Start date:
04 May 2021
Due date:
% Done:

0%

Estimated time:
Patch proposed:
Yes
Planning:
No

Description

Exemple cette URL :

https://connexion.example.net/idp/saml2/sso?<html><br><script>alert('xss')</script></html>

Va afficher ce message en text/plain :

SAMLv2 Single Sign On: message invalide pour le profil utilisant le binding HTTP-Redirect : '%3Chtml%3E%3Cbr%3E%3Cscript%3Ealert(%27xss%27)%3C/script%3E%3C/html%3E'

Or certains navigateurs interprètent tout de même cela comme du HTML avec du Javascript... et exécute ce dernier.

De là pourra émerger une injection javascript.

Pour l'éviter on pourrait tout simplement ne pas afficher le message invalide.


Files

Associated revisions

Revision fb43ef51 (diff)
Added by Thomas Noël 13 days ago

saml: do not show invalid SSO message to end-user (#53716)

History

#1

Updated by Thomas Noël 13 days ago

  • Assignee set to Thomas Noël
#2

Updated by Thomas Noël 13 days ago

#3

Updated by Benjamin Dauvergne 13 days ago

  • Status changed from Solution proposée to Solution validée

Ok.

#4

Updated by Thomas Noël 13 days ago

  • Status changed from Solution validée to Résolu (à déployer)
commit fb43ef51e13fd650d3962ca96c7c8a0eec9f1f5c
Author: Thomas NOËL <tnoel@entrouvert.com>
Date:   Tue May 4 12:15:49 2021 +0200

    saml: do not show invalid SSO message to end-user (#53716)

#5

Updated by Frédéric Péters 10 days ago

  • Status changed from Résolu (à déployer) to Solution déployée

Also available in: Atom PDF