Validazione dell'input dell'utente

Cal · 9 Dicembre 2020, 12:16pm

Qualcuno sa se è possibile implementare una convalida personalizzata dell’input utente, in particolare per i nuovi utenti, i nuovi badge di amministratore e i nuovi campi utente.

Dopo un test di penetrazione, abbiamo scoperto che siamo vulnerabili all’iniezione HTML e ad altri input dannosi in queste aree e ci chiedevamo se ci sia un modo per convalidare ulteriormente questi input per migliorare la sicurezza (magari utilizzando espressioni regolari o un altro metodo per ottenere lo stesso risultato).

Grazie in anticipo!

neounix · 9 Dicembre 2020, 12:40pm

Sì, è possibile per te, o per uno sviluppatore professionista di plugin Discourse, scrivere un plugin “relativamente semplice” per aggiungere la convalida ai modelli.

Forse dovresti pubblicare la tua richiesta in Marketplace?

pfaffman · 9 Dicembre 2020, 12:43pm

Quali campi sono suscettibili all’injection HTML?

fzngagan · 9 Dicembre 2020, 1:09pm

Esattamente quello che stavo per chiedere.

Jonathan5 · 9 Dicembre 2020, 1:14pm

Spero che lo dica agli sviluppatori in privato prima di noi

Discourse non partecipa forse a un programma attraverso il quale vengono pagati per la scoperta di vulnerabilità di sicurezza?

Benjamin_D · 9 Dicembre 2020, 1:19pm

Infatti: hackerone

Cal · 9 Dicembre 2020, 1:58pm

Grazie per aver risposto così rapidamente!

Quindi i parametri interessati sono:

Creazione utente: name, title, location, bio_raw

Distintivi: name, description, long_description

Campi utente: name, description

merefield · 9 Dicembre 2020, 2:01pm

Facciamo parte della comunità, ma non siamo dello staff. Dovresti ottenere una risposta da loro su questo. Tuttavia, data l’attenzione che il team dedica alle vulnerabilità e alla sicurezza, oltre all’utilizzo di framework standard del settore, consiglierei di attendere prima di esprimere un giudizio, finché non avranno avuto il tempo di rispondere.

Non sembra qualcosa che tu debba mitigare, ma allo stesso tempo, potrebbe già essere stato risolto in qualche modo.

pfaffman · 9 Dicembre 2020, 3:03pm

Sarei molto sorpreso se fosse possibile inserire codice HTML. Dimostratelo modificando il vostro profilo qui con un esempio banale.

Johani · 9 Dicembre 2020, 3:25pm

Benvenuti su Meta @Cal

Quei campi vengono sanificati/escaped. Inoltre, Discourse ha CSP abilitato per impostazione predefinita.

Anche questi vengono sanificati. Sono inoltre accessibili solo agli amministratori e vige anche la CSP.

Se hai individuato un problema di sicurezza legato all’input utente che si verifica con la CSP attiva, saremmo lieti di saperne di più qui.

Argomento		Risposte	Visualizzazioni
Discourse Authentication Validations Plugin experimental	15	1564	Febbraio 13, 2026
User custom fields validation implementation Developers user-custom-fields , development	0	94	Novembre 11, 2025
Validate Custom User Field for Fediverse Handle Support user-custom-fields	4	156	Agosto 4, 2024
How does Discourse guard against SQL injections via the user agent? Feature	2	596	Gennaio 26, 2021
InputValidation deprecated Development	4	368	Gennaio 27, 2023

Validazione dell'input dell'utente

Argomenti correlati