Projet

Général

Profil

Bug #53716

Ne pas afficher le message invalide sur un pépin SAMLv2

Ajouté par Thomas Noël il y a presque 3 ans. Mis à jour il y a presque 3 ans.

Statut:
Fermé
Priorité:
Normal
Assigné à:
Catégorie:
-
Version cible:
-
Début:
04 mai 2021
Echéance:
% réalisé:

0%

Temps estimé:
Patch proposed:
Oui
Planning:
Non

Description

Exemple cette URL :

https://connexion.example.net/idp/saml2/sso?<html><br><script>alert('xss')</script></html>

Va afficher ce message en text/plain :

SAMLv2 Single Sign On: message invalide pour le profil utilisant le binding HTTP-Redirect : '%3Chtml%3E%3Cbr%3E%3Cscript%3Ealert(%27xss%27)%3C/script%3E%3C/html%3E'

Or certains navigateurs interprètent tout de même cela comme du HTML avec du Javascript... et exécute ce dernier.

De là pourra émerger une injection javascript.

Pour l'éviter on pourrait tout simplement ne pas afficher le message invalide.


Fichiers

Révisions associées

Révision fb43ef51 (diff)
Ajouté par Thomas Noël il y a presque 3 ans

saml: do not show invalid SSO message to end-user (#53716)

Historique

#1

Mis à jour par Thomas Noël il y a presque 3 ans

  • Assigné à mis à Thomas Noël
#2

Mis à jour par Thomas Noël il y a presque 3 ans

#3

Mis à jour par Benjamin Dauvergne il y a presque 3 ans

  • Statut changé de Solution proposée à Solution validée

Ok.

#4

Mis à jour par Thomas Noël il y a presque 3 ans

  • Statut changé de Solution validée à Résolu (à déployer)
commit fb43ef51e13fd650d3962ca96c7c8a0eec9f1f5c
Author: Thomas NOËL <tnoel@entrouvert.com>
Date:   Tue May 4 12:15:49 2021 +0200

    saml: do not show invalid SSO message to end-user (#53716)

#5

Mis à jour par Frédéric Péters il y a presque 3 ans

  • Statut changé de Résolu (à déployer) à Solution déployée

Formats disponibles : Atom PDF