Validação de entrada do usuário

Cal · Dezembro 9, 2020, 12:16pm

Alguém sabe se é possível implementar validação de entrada de usuário personalizada, especificamente para novos usuários, novos badges de administrador e novos campos de usuário?

Após um teste de penetração, descobrimos que somos vulneráveis a injeção de HTML e outras entradas maliciosas nessas áreas e nos perguntamos se há uma maneira de validar ainda mais essas entradas para melhorar a segurança (possivelmente usando regex ou outra maneira de alcançar o mesmo resultado).

Obrigado antecipadamente!

neounix · Dezembro 9, 2020, 12:40pm

Sim, é possível para você, ou para um desenvolvedor profissional de plugins do Discourse, escrever um plugin “relativamente simples” para adicionar validação aos modelos.

Talvez você devesse publicar sua solicitação em Marketplace?

pfaffman · Dezembro 9, 2020, 12:43pm

Quais campos são suscetíveis a injeção de HTML?

fzngagan · Dezembro 9, 2020, 1:09pm

Exatamente o que eu ia perguntar.

Jonathan5 · Dezembro 9, 2020, 1:14pm

Espero que ele avise os desenvolvedores em particular antes de nós

O Discourse não participa de um programa pelo qual eles pagam por descobertas de vulnerabilidades de segurança?

Benjamin_D · Dezembro 9, 2020, 1:19pm

De fato: hackerone

Cal · Dezembro 9, 2020, 1:58pm

Obrigado por responder tão rapidamente!

Os parâmetros afetados são:

Criação de usuário: name, title, location, bio_raw

Distintivos: name, description, long_description

Campos do usuário: name, description

merefield · Dezembro 9, 2020, 2:01pm

Fazemos parte da comunidade, mas não somos da equipe. Você precisaria obter uma resposta deles sobre isso. No entanto, considerando a atenção que a equipe dedica a vulnerabilidades e segurança, além do uso de frameworks padrão do setor, eu reservaria meu julgamento até que eles tenham tempo de responder.

Isso não parece ser algo que você precise mitigar, mas, ao mesmo tempo, pode já ter sido abordado de alguma forma.

pfaffman · Dezembro 9, 2020, 3:03pm

Ficaria muito surpreso se eles permitissem injeção de HTML. Por favor, demonstre isso editando seu perfil aqui com um exemplo trivial.

Johani · Dezembro 9, 2020, 3:25pm

Bem-vindo ao Meta @Cal

Esses campos são higienizados/escapados. Além disso, o Discourse tem CSP ativado por padrão.

Eles também são higienizados. Além disso, são acessíveis apenas a administradores, e há também o CSP.

Se você encontrou um problema de segurança relacionado a entrada de usuário que ocorre mesmo com o CSP ativado, adoraríamos ouvir sobre isso aqui.

Tópico		Respostas	Visualizações
Discourse Authentication Validations Plugin experimental	15	1561	13 de Fevereiro de 2026
User custom fields validation implementation Developers user-custom-fields , development	0	94	11 de Novembro de 2025
Validate Custom User Field for Fediverse Handle Support user-custom-fields	4	156	4 de Agosto de 2024
How does Discourse guard against SQL injections via the user agent? Feature	2	596	26 de Janeiro de 2021
InputValidation deprecated Development	4	368	27 de Janeiro de 2023

Validação de entrada do usuário

Tópicos relacionados