fix vulnerability - Multiple Slashes and Encoded Characters (//\\): T… #210
Conversation
* chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel
* chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * Ajout wrapper cron sentry (#204) * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel * fix: arg invalide en production - install ansible * chore: bump pm2 v5.4.2 (#206) * fix: utilise apt pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * chore: reset pm2 v5.2 * fix: setup openfisca install * Debian 11 to 12 (#208) * fix: ajout de paramétrage pour gérer les M1 plus proprement * feat: passage a la version 12 de debian --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * chore: upgrade pm2 version * trigger CD --------- Co-authored-by: Jeremy PASTOURET <[email protected]>
…he use of multiple slashes (///) and the encoded characters (%5C) in the URL indicates improper sanitization or validation of user inputs, which can allow malicious actors to bypass security filters and manipulate redirection behavior.
* feat: setup la roation des journaux systemd * lint: handler name * fix: la casse du notify pour restart systemd-journald * refactor: rotation des logs fixée à 30 jours
|
Cette proposition ne me semble pas effective sur le port openfisca en local. Quelle a été ta procédure de test ? Sur le terminal de mon container local: |
|
Ma procédure de test : |
J'attends ton retour pour le test en local. La redirection semble toujours effective : https://openfisca.eclipse.mes-aides.incubateur.net///%5Cbeta.gouv.fr/ |
J'ai mis de nouveau le code sur le fichier de configuration et cela fonctionne bien en ligne. |
|
Après avoir coupé nginx sur mon local, OF répond toujours, car ta commande appel directement openfisca python et ne passe pas par nginx. C'est pour cela que ça fonctionne en ligne pour moi mais que je n'arrive à le vérifier en local. |
|
Le curl marche aussi en local sans passer par docker quand tu lances OF avec AJ |
|
Le soucis est aussi présent ici : https://api.demo.openfisca.org/latest en rajoutant le paramètre : |
|
J'ai trouvé la source du problème : https://github.com/openfisca/openfisca-core/blob/435ee780e4381eb49480cca042af8c0b334e75ce/openfisca_web_api/app.py#L74 |
|
Je pense que mon approche de base est à utiliser pour être rapide et faire une issue sur le repo d'OF pour en parler avec la communauté. Tu en penses quoi @Shamzic ? |
|
J'ai fait une petite modification pour spécifier l'ajout de mon code sur du service OF et pas pour tout AJ. |
|
Je ne suis pas sûr de comprendre comment tu testes tes modifications en local avec Vagrant sans passer par Docker, peut-être qu'en visio tu pourras me montrer, je n'ai peut-être pas la bonne pratique (?) |
* chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * Ajout wrapper cron sentry (#204) * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel * fix: arg invalide en production - install ansible * chore: bump pm2 v5.4.2 (#206) * fix: utilise apt pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * chore: reset pm2 v5.2 * fix: setup openfisca install * Debian 11 to 12 (#208) * fix: ajout de paramétrage pour gérer les M1 plus proprement * feat: passage a la version 12 de debian --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * chore: upgrade pm2 version * trigger CD * Màj preprod (#211) * Ajout wrapper cron sentry (production) (#198) * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel * Merge dev -> main (#207) * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * Ajout wrapper cron sentry (#204) * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel * fix: arg invalide en production - install ansible * chore: bump pm2 v5.4.2 (#206) * fix: utilise apt pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * chore: reset pm2 v5.2 * fix: setup openfisca install * Debian 11 to 12 (#208) * fix: ajout de paramétrage pour gérer les M1 plus proprement * feat: passage a la version 12 de debian --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * chore: upgrade pm2 version * trigger CD --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * Setup la roation des journaux systemd (#209) * feat: setup la roation des journaux systemd * lint: handler name * fix: la casse du notify pour restart systemd-journald * refactor: rotation des logs fixée à 30 jours --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * fix vulnerability - Multiple Slashes and Encoded Characters (//\\): T… (#210) * Ajout wrapper cron sentry (production) (#198) * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel * Merge dev -> main (#207) * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * Ajout wrapper cron sentry (#204) * feat: ajoute un wrapper pour capturer les erreurs des crons sur sentry * feat: add sentry-cli * fix: indentation * fix: sentry-cli install * fix: sentry_wrapper_cron path * fix: sentry wrapper fonctionnel * fix: arg invalide en production - install ansible * chore: bump pm2 v5.4.2 (#206) * fix: utilise apt pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * fix: utilise environnement virtuel pour l'install ansible * chore: reset pm2 v5.2 * fix: setup openfisca install * Debian 11 to 12 (#208) * fix: ajout de paramétrage pour gérer les M1 plus proprement * feat: passage a la version 12 de debian --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * chore: upgrade pm2 version * trigger CD --------- Co-authored-by: Jeremy PASTOURET <[email protected]> * fix vulnerability - Multiple Slashes and Encoded Characters (//\\): The use of multiple slashes (///) and the encoded characters (%5C) in the URL indicates improper sanitization or validation of user inputs, which can allow malicious actors to bypass security filters and manipulate redirection behavior. * Setup la roation des journaux systemd (#209) * feat: setup la roation des journaux systemd * lint: handler name * fix: la casse du notify pour restart systemd-journald * refactor: rotation des logs fixée à 30 jours * ajout d'une condition de spécification * fix: repositionnement du commentaire de blocage de redirection * bookwarm to bookworm --------- Co-authored-by: Simon Hamery <[email protected]> * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * trigger CD * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * trigger CD * chore: upgrade version github actions (cd.yml) (#201) downgrade python github action to v4 fix cd * trigger CD --------- Co-authored-by: Simon Hamery <[email protected]>
Multiple Slashes and Encoded Characters (//\): The use of multiple slashes (///) and the encoded characters (%5C) in the URL indicates improper sanitization or validation of user inputs, which can allow malicious actors to bypass security filters and manipulate redirection behavior.