Bug #53716
Ne pas afficher le message invalide sur un pépin SAMLv2
Début:
04 mai 2021
Echéance:
% réalisé:
0%
Temps estimé:
Patch proposed:
Oui
Planning:
Non
Description
Exemple cette URL :
https://connexion.example.net/idp/saml2/sso?<html><br><script>alert('xss')</script></html>
Va afficher ce message en text/plain :
SAMLv2 Single Sign On: message invalide pour le profil utilisant le binding HTTP-Redirect : '%3Chtml%3E%3Cbr%3E%3Cscript%3Ealert(%27xss%27)%3C/script%3E%3C/html%3E'
Or certains navigateurs interprètent tout de même cela comme du HTML avec du Javascript... et exécute ce dernier.
De là pourra émerger une injection javascript.
Pour l'éviter on pourrait tout simplement ne pas afficher le message invalide.
Fichiers
Révisions associées
Historique
Mis à jour par Thomas Noël il y a presque 3 ans
- Fichier 0001-saml-do-not-show-invalid-SSO-message-to-end-user-537.patch 0001-saml-do-not-show-invalid-SSO-message-to-end-user-537.patch ajouté
- Statut changé de Nouveau à Solution proposée
- Patch proposed changé de Non à Oui
Mis à jour par Benjamin Dauvergne il y a presque 3 ans
- Statut changé de Solution proposée à Solution validée
Ok.
Mis à jour par Thomas Noël il y a presque 3 ans
- Statut changé de Solution validée à Résolu (à déployer)
commit fb43ef51e13fd650d3962ca96c7c8a0eec9f1f5c Author: Thomas NOËL <tnoel@entrouvert.com> Date: Tue May 4 12:15:49 2021 +0200 saml: do not show invalid SSO message to end-user (#53716)
Mis à jour par Frédéric Péters il y a presque 3 ans
- Statut changé de Résolu (à déployer) à Solution déployée
saml: do not show invalid SSO message to end-user (#53716)