Project

General

Profile

Action #13848

[XSS] Rebancher et testet le filtrage des entrées en liste noire

Added by Cyril VAZQUEZ 5 months ago. Updated 4 months ago.

Status:
Résolue
Priority:
2-Sérieux
Assignee:
-
Target version:
Start date:
04/30/2020
Due date:
Itération:
200507
Extension/Module:
Fonction:
Sécurité
SCRUM - Valeur:
2 - Should

Description

Les entrées utilisateurs ne sont filtrées qu'en liste blanche, via le contrat de données (paramètres des userCommands des userStories et paths de l'API), il faut ajouter un filtrage en liste noire pour bloquer les attaques de type XSS.

L'outil utilisé et déjà testé est PHP_IDS. Il faut le réintégrer et tester, puis modifier les procédures d'installation.
Voir l'impact sur les performances aussi.

Autre option utiliser un module Apache à déterminer et tester pour éviter les blocages;

History

#1 Updated by Cyril VAZQUEZ 5 months ago

  • Description updated (diff)

#2 Updated by Jérôme BOUCHER 4 months ago

  • Status changed from A traiter to Résolue

Possibilité de metre en place un IDS openSource côté serveur tel que modSecurity ( https://github.com/SpiderLabs/ModSecurity ), ou dans l'appli en tan qu'extension comme expose ( https://github.com/enygma/expose )

Also available in: Atom PDF