هل يعرف أحد ما إذا كان من الممكن تنفيذ تحقق مخصص من مدخلات المستخدم، وتحديداً للمستخدمين الجدد، وشارات المسؤول الجديدة، وحقول المستخدم الجديدة.
بعد اختبار اختراق، اكتشفنا أننا عرضة لحقن HTML ومدخلات ضارة أخرى في هذه المناطق، وتساءلنا عما إذا كان هناك طريقة للتحقق بشكل أكبر من هذه المدخلات لتحسين الأمان (ربما باستخدام تعبيرات نمطية regex أو طريقة أخرى لتحقيق النتيجة نفسها).
شكرًا مقدّمًا!
نعم، من الممكن لك، أو لمطور إضافات Discourse محترف، كتابة إضافة “بسيطة نسبيًا” لإضافة التحقق إلى النماذج.
ربما ينبغي عليك نشر طلبك في #marketplace؟
ما هي الحقول المعرضة لحقن HTML؟
بالضبط ما كنتُ سأسأله.
آمل أن يخبر المطورين بشكل خاص قبلنا 
ألا تشارك منصة Discourse في برنامج يدفعون فيه مقابل اكتشافات الثغرات الأمنية؟
في الواقع: hackerone
شكرًا لك على الرد السريع!
إذن، المعلمات المتأثرة هي:
إنشاء المستخدم: الاسم، العنوان، الموقع، bio_raw
الشارات: الاسم، الوصف، long_description
حقول المستخدم: الاسم، الوصف
نحن جزء من المجتمع وليس من الموظفين. ستحتاج إلى الحصول على رد منهم بشأن هذا الأمر. ومع ذلك، نظرًا للاهتمام الذي توليه الفريق للثغرات الأمنية والأمان، بالإضافة إلى استخدام أطر العمل المعيارية في الصناعة، فإنني أنصح بالامتناع عن إصدار حكم حتى يتسنى لهم وقت للرد.
لا يبدو هذا شيئًا يتعين عليك معالجته، ولكن في الوقت نفسه، قد يكون تم معالجته بالفعل بطريقة ما.
سأكون مندهشًا جدًا إذا كان ذلك يسمح بحقن HTML. يُرجى إثبات ذلك عن طريق تحرير ملفك الشخصي هنا بمثال بسيط.
