Validación de entrada del usuario

Cal · 9 Diciembre, 2020 12:16

¿Alguien sabe si es posible implementar validación personalizada de entrada de usuario, específicamente para nuevos usuarios, nuevas insignias de administrador y nuevos campos de usuario?

Después de una prueba de penetración, descubrimos que somos vulnerables a la inyección de HTML y otras entradas maliciosas en estas áreas, y nos preguntamos si hay una manera de validar aún más estas entradas para mejorar la seguridad (posiblemente mediante el uso de expresiones regulares o de otra forma para lograr el mismo resultado).

¡Gracias de antemano!

neounix · 9 Diciembre, 2020 12:40

Sí, es posible que tú, o un desarrollador profesional de plugins de Discourse, escribas un plugin “relativamente sencillo” para agregar validación a los modelos.

¿Quizás deberías publicar tu solicitud en Marketplace?

pfaffman · 9 Diciembre, 2020 12:43

¿Qué campos son susceptibles a la inyección de HTML?

fzngagan · 9 Diciembre, 2020 13:09

Exactamente lo que iba a preguntar.

Jonathan5 · 9 Diciembre, 2020 13:14

Espero que se lo comunique a los desarrolladores en privado antes que a nosotros

¿No participa Discourse en un programa mediante el cual pagan por el descubrimiento de vulnerabilidades de seguridad?

Benjamin_D · 9 Diciembre, 2020 13:19

Efectivamente: hackerone

Cal · 9 Diciembre, 2020 13:58

¡Gracias por responder tan rápido!

Los parámetros afectados son:

Creación de usuario: nombre, título, ubicación, bio_raw

Insignias: nombre, descripción, long_description

Campos de usuario: nombre, descripción

merefield · 9 Diciembre, 2020 14:01

Somos parte de la comunidad, pero no del equipo de soporte. Necesitarías obtener una respuesta de ellos sobre esto. Sin embargo, dado el nivel de atención que el equipo presta a las vulnerabilidades y la seguridad, además del uso de marcos de trabajo estándar de la industria, recomendaría esperar a que tengan tiempo de responder antes de emitir un juicio.

Esto no parece algo que debas mitigar, pero al mismo tiempo, es posible que ya se haya abordado de alguna manera.

pfaffman · 9 Diciembre, 2020 15:03

Me sorprendería mucho si permitieran inyección de HTML. Por favor, demuéstrenlo editando su perfil aquí con un ejemplo trivial.

Johani · 9 Diciembre, 2020 15:25

¡Bienvenido a Meta @Cal

Esos campos están limpiados/escapados. Además, Discourse tiene CSP habilitado por defecto.

Esos también están limpiados. Además, solo son accesibles para administradores y también hay CSP.

Si has encontrado un problema de seguridad relacionado con la entrada de usuario que ocurre con CSP activado, nos encantaría saberlo aquí.

Tema		Respuestas	Vistas
Discourse Authentication Validations Plugin experimental	15	1561	13 Febrero 2026
User custom fields validation implementation Developers user-custom-fields , development	0	94	11 Noviembre 2025
Validate Custom User Field for Fediverse Handle Support user-custom-fields	4	156	4 Agosto 2024
How does Discourse guard against SQL injections via the user agent? Feature	2	596	26 Enero 2021
InputValidation deprecated Development	4	368	27 Enero 2023

Validación de entrada del usuario

Temas relacionados