Weiß jemand, ob es möglich ist, eine benutzerdefinierte Validierung für Benutzereingaben zu implementieren, insbesondere für neue Benutzer, neue Admin-Abzeichen und neue Benutzerfelder.
Nach einem Penetrationstest haben wir festgestellt, dass wir in diesen Bereichen anfällig für HTML-Injection und andere bösartige Eingaben sind. Wir fragen uns, ob es eine Möglichkeit gibt, diese Eingaben weiter zu validieren, um die Sicherheit zu verbessern (möglicherweise durch die Verwendung von Regex oder einer anderen Methode, um dasselbe Ergebnis zu erzielen).
Wir sind Teil der Community, aber nicht vom Team. Dafür müsstet ihr eine Antwort von ihnen erhalten. Angesichts der Aufmerksamkeit, die das Team Schwachstellen und Sicherheit schenkt, sowie der Nutzung branchenüblicher Standards, würde ich jedoch abwarten, bis sie Zeit hatten zu antworten.
Das klingt nicht nach etwas, das ihr selbst abmildern müsst, aber es könnte andererseits bereits auf irgendeine Weise behoben sein.
Ich wäre sehr überrascht, wenn HTML-Injection dort erlaubt wäre. Bitte beweisen Sie das, indem Sie hier ein triviales Beispiel in Ihrem Profil bearbeiten.
Diese Felder werden bereinigt/escapt. Zudem ist bei Discourse standardmäßig CSP aktiviert.
Auch diese werden bereinigt. Sie sind zudem nur für Administratoren zugänglich, und es gilt ebenfalls CSP.
Solltest du ein Sicherheitsproblem bei Benutzereingaben gefunden haben, das trotz aktivierter CSP auftritt, freuen wir uns sehr über eine Meldung hier.
