Anomalie #13847
[Fuite de données] La fonction de listage des utilisateurs renvoie trop d'information
Start date:
04/30/2020
Due date:
Itération:
200507
Extension/Module:
Fonction:
Sécurité
SCRUM - Valeur:
3 - Must
Description
Le service/la commande utilisateur qui permet de lister les utilisateurs renvoie trop d'information, notamment les mots de passe hashés.
GET /user/todisplay
{
"accountId": "aackermann",
"accountName": "aackermann",
"displayName": "Amanda ACKERMANN",
"emailAddress": "info@maarch.org",
"accountType": "user",
"enabled": true,
"password": "fffd2272074225feae229658e248b81529639e6199051abdeb49b6ed60adf13d",
"passwordLastChange": null,
...
Il faut limiter la quantité d'information à celle effectivement utilisée dans l'IHM lorsqu'on fait appel à ce service, certainement l'identifiant, le nom affiché, peut-être le statut.
Si le service n'est pas utilisé, le blacklister.
History
#1 Updated by Cyril VAZQUEZ 9 months ago
- Description updated (diff)
#2 Updated by Cyril VAZQUEZ 9 months ago
- Description updated (diff)
#4 Updated by Jérôme BOUCHER 9 months ago
- Status changed from A livrer to A tester
Route supprimé dans app
Route appelé depuis 3 endroits de l'application dans des typeahead :
vue securité->journal de l'application
vue organisation (rattachement d'un user à une org, mais chargé lors de l'affichage de l'organigramme)
vue sécurité -> rôle -> modification
À tester sur branche : fix/13847_sanitizeUserData