DGNum/gestioCOF
13
2
Fork 1
Code Issues 77 Pull requests 14 Packages Projects Releases 12 Wiki Activity

On peut usurper l'identité de n'importe qui sur K-Psul #240

New issue
Closed
opened 2019-11-13 20:45:14 +01:00 by lstephan · 3 comments
lstephan commented 2019-11-13 20:45:14 +01:00 (Migrated from git.eleves.ens.fr)
Copy link

Avec l'authentication par mot de passe sur K-Psul, on peut usurper l'identité de n'importe qui sur tout gestioCOF si on est K-Fêt chef ou dev.
Par exemple, on peut accéder à l'interface admin de la façon suivante :

  • choisir un superuser de gestioCOF / un membre du COF (appelons le toto) ;
  • modifier son mdp K-Fêt en un mdp connu (appelons le mdp-toto) ;
  • effectuer une requête GET vers https://cof.ens.fr/gestion/admin avec comme header HTTP KFETPASSWORD: mdp-toto ;
  • et voilà, on accède à l'interface admin en tant que toto.

C'est mal ! Il faudrait changer ça.
Pointeurs :

  • le changement d'utilisateur se fait dans kfet/auth/middleware.py ; il faudrait probablement le restreindre au sous-domaine K-Fêt, au moins...
  • autre idée : refondre le système d'auth pour ne pas faire un truc aussi risqué que changer l'utilisateur actif dans un middleware custom.
Avec l'authentication par mot de passe sur K-Psul, on peut usurper l'identité de n'importe qui sur tout gestioCOF si on est K-Fêt chef ou dev. Par exemple, on peut accéder à l'interface admin de la façon suivante : - choisir un superuser de gestioCOF / un membre du COF (appelons le toto) ; - modifier son mdp K-Fêt en un mdp connu (appelons le mdp-toto) ; - effectuer une requête GET vers `https://cof.ens.fr/gestion/admin` avec comme header HTTP `KFETPASSWORD: mdp-toto` ; - et voilà, on accède à l'interface admin en tant que toto. C'est mal ! Il faudrait changer ça. Pointeurs : - le changement d'utilisateur se fait dans `kfet/auth/middleware.py` ; il faudrait probablement le restreindre au sous-domaine K-Fêt, au moins... - autre idée : refondre le système d'auth pour ne pas faire un truc aussi risqué que changer l'utilisateur actif dans un middleware custom.
lstephan commented 2019-11-21 01:35:31 +01:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in merge request !380

mentioned in merge request !380
mpepin commented 2019-11-22 14:37:14 +01:00 (Migrated from git.eleves.ens.fr)
Copy link

closed via merge request !380

closed via merge request !380
mpepin commented 2019-11-22 14:37:15 +01:00 (Migrated from git.eleves.ens.fr)
Copy link

mentioned in commit 82746f1492

mentioned in commit 82746f14929662794b58bb63ca130b9d5a5dd684
Sign in to join this conversation.
No Branch/Tag specified
Branches Tags
master
thubrecht/daphne
agroudiev/virement-tirage
Production
thubrecht/bds-tests
mdebray/ajout_recherche_petits_cours
luj/adhesions
tbastian/kfet-rgpd
kerl/negatifs_handle_smtp_errors
thubrecht/export-ventes
Aufinal/backbone_checkout
Aufinal/es6-js
kerl/clickable_links
thubrecht/pause-mail-auto
bclement/autocomplete-queryset
kerl/authens
kerl/sitecof_absolute_urls
Evarin/sitecof-rewrite-urls
kerl/factor_autocompletion_views
Aufinal/alcoolémie
kerl/bds_registration
kerl/bds_export
kerl/bds_home
journal-de-caisse
kerl/dumpkfet
fix-shared-session
Kerl/mail_error_handling
aureplop/kfet-auth
aureplop/kfet-auth_cms
aureplop/core-deploy_initial
aureplop/install-authens
qwann/k-fet/graphs
aureplop/hooks_fix-pre-commit
aureplop/kpsul_js_refactor
aureplop/restructuring
aureplop/js_basket
supportBDS
Kerl/supportBDS/registration
Manet/k-fet/fix/160
v0.11
v0.10
v0.9
v0.8
v0.7.2
v0.7.1
v0.7
v0.6
v0.5
v0.4.2
v0.4.1
v0.4
v0.3.3
v0.3.2
v0.3.1
v0.3
v0.1
Labels
Clear labels   
devtype -- backend

Au programme : du Python, du Django...

  
devtype -- docs

   
devtype -- frontend

   
devtype -- user interface

Au programme : templating, JS, CSS...

  
difficulty -- easy

   
difficulty -- hard

Difficile et/ou risqué

  
difficulty -- normal

   
Doing

   
domain -- bda

Concerne l'application BdA

  
domain -- bds

   
domain -- cof

Concerne l'application COF

  
domain -- core

Dépendances externes, CI, linting...

  
domain -- kfet

Concerne l'application K-Fêt

  
Good first issue

   
priority -- high

Urgent quoi

  
priority -- low

   
priority -- medium

   
priority -- staff-wanted

L'équipe dirigeante du domaine en question souhaite cette fonctionnalité.

  
status -- development

En cours de développement

  
status -- discussion

Avant de coder, c'est bien de discuter

  
status -- need review

En attente de code review

  
status -- production

L'ajout/la modification est présente en production

  
status -- ready to merge

Plus qu'à merger !

  
status -- todo

Le développement devrait bientôt commencer

  
To Do

   
type -- bug

Signalement ou correction de bug

  
type -- hygiene

Tout ce qui amène à du code plus propre et un repo mieux organisé.

  
type -- improvement

Ajout/Demande d'évolution mineure d'une fonctionnalité existante

  
type -- new feature

Ajout/Demande d'une nouvelle fonctionnalité

No labels
devtype -- backend
devtype -- docs
devtype -- frontend
devtype -- user interface
difficulty -- easy
difficulty -- hard
difficulty -- normal
Doing
domain -- bda
domain -- bds
domain -- cof
domain -- core
domain -- kfet
Good first issue
priority -- high
priority -- low
priority -- medium
priority -- staff-wanted
status -- development
status -- discussion
status -- need review
status -- production
status -- ready to merge
status -- todo
To Do
type -- bug
type -- hygiene
type -- improvement
type -- new feature
Milestone
Clear milestone
No items
No milestone
Projects
Clear projects
No items
No project
Assignees
Clear assignees
No assignees
1 participant
Notifications
Due date
The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: DGNum/gestioCOF#240
No description provided.
Delete branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?