Project

General

Profile

Anomalie #13846

[Exception] Messages de la BDD dans les en-têtes http

Added by Cyril VAZQUEZ 5 months ago. Updated 25 days ago.

Status:
A livrer
Priority:
2-Sérieux
Assignee:
-
Target version:
Start date:
04/30/2020
Due date:
Itération:
200507
Extension/Module:
Fonction:
Sécurité
SCRUM - Valeur:
3 - Must

Description

Certaines exceptions lors des accès à la base de données ne sont pas interceptées par le code métier et remontées directement au client, fournissant des informations pouvant être utiles aux attaquants.

exception; An error occured during the execution of the data access statement. 23505: ERREUR:
la valeur d'une clé dupliquée rompt la contrainte unique « account_accountName_key »
DETAIL: La clé « ("accountName")=(superadmin) » existe déjà .

Analyse
Lorsque le code métier n'intercepte pas les exceptions des couches d'accès aux données, la couche de présentation et la couche de service ne doivent pas transmettre directement le détail de l'exception mais renvoyer une erreur 500.

  • couche de présentation, voir le presenter Exception et ExceptionTrait
  • couche de service, voir le ServiceKernel

History

#1 Updated by Jérôme BOUCHER 5 months ago

  • Status changed from A traiter to A tester

À tester sur branche fix/13846_removeBddMessagesFromHttpException

#2 Updated by Benjamin ROUSSELIERE 5 months ago

  • Status changed from A tester to A livrer

tests OK

#3 Updated by Cyril VAZQUEZ 25 days ago

  • Target version changed from Product Backlog to 2.7

Also available in: Atom PDF