Project

General

Profile

Actions

Bug #4018

open

typeahead: long query parameter / answer triggers 'Attack detected' and purges current SIP storage.

Added by Carsten Rose over 5 years ago. Updated 9 days ago.

Status:
ToDo
Priority:
Normal
Assignee:
Enis Nuredini
Target version:
Start date:
01.07.2017
Due date:
% Done:

0%

Estimated time:
Discuss:
Prio Planung:
No

Description

  • maybe a post request?
  • Problem was #4009
Situation:
  • User loads form
  • use typeahead against uzh webpass
  • shortname as column
  • user save and close record
  • user open form with saved record again
  • form loads
  • typeAheadLdapSearchPrefetch: typeahead fires a query after form load to display expanded LDAP search query. for this it uses the expanded value. this is not clear to CR why.
  • The expanded value exceeds the SECURITY_GET_MAX_LENGTH of 50.

Files


Related issues

Related to QFQ - Bug #9077: typeAheadSql: report broken SQLNewCarsten Rose10.09.2019

Actions
Related to QFQ - Bug #5788: DoS-String für TypeAHeadClosedCarsten Rose06.04.2018

Actions
Actions #3

Updated by Carsten Rose about 5 years ago

  • Target version set to next9
Actions #4

Updated by Carsten Rose almost 3 years ago

  • Status changed from New to Some day maybe
Actions #5

Updated by Carsten Rose 5 months ago

  • File clipboard-202206292238-xftuq.png clipboard-202206292238-xftuq.png added
  • Subject changed from typeahead: solve problem with potential long query parameter to typeahead: long query parameter / answer triggers 'Attack detected' and purges current SIP storage.
  • Status changed from Some day maybe to New
  • Target version changed from next9 to 23.1.0
  • Das duerfte auch das Problem in #14440 gewesen sein.
  • Beim laden des Forms wurde die eingestellte Security.MaxLength uberschritten

  • Effekt: das Form konnte geladen werden, danach war aber die SIP kaputt! Erst bei dem naechsten Klick auf z.B. einen SIP kodierten Button, oder wenn man einfach Reload (F5) gedrueckt hat, hat QFQ gemeldet 'invalid SIP'.

Steps:

  • Wenn QFQ merkt 'oops, attack detected' - dann sollte QFQ das auch dem Benutzer mitteilen oder z.B. im Log etwas notieren.
  • Das hochsetzen von `security.securityGetMaxLength` ist schlecht. TypeAhead Felder sollten einen eigenen Mechanismus bekommen, damit sie automatisch die maximale Laenge vertragen. Sollte bei einem SQL / LDAP Answer mehr geliefert werden, einfach abschneiden, keinen Fehler produzieren! Es gibt bereits eine Moeglihckeit das Feldnamen eine individuelle MaxLength bekomen '256_StandGeschaeft' z.B.. Dies koennte automatisch gesetzt werden bei TypeAhead Feldern.
  • Wenn der Bug behoben ist, sollten alle QFQ Instanzen zurueck auf 50 Chars gesetzt werden.
Actions #6

Updated by Carsten Rose 5 months ago

  • Related to Bug #9077: typeAheadSql: report broken SQL added
Actions #7

Updated by Carsten Rose 3 months ago

  • Related to Bug #5788: DoS-String für TypeAHead added
Actions #8

Updated by Carsten Rose 3 months ago

  • Tracker changed from Feature to Bug
  • Status changed from New to In Progress
  • Prio Planung set to No
Actions #11

Updated by Carsten Rose 3 months ago

  • Target version changed from 23.1.0 to 22.12.3
Actions #12

Updated by Carsten Rose 3 months ago

  • Den Parameter TYPEAHEAD_API_MAX_LENGTH = 512; gab es schon laenger - aber scheinbar war der nicht aktiv (Fehler in der Programmierung)
  • Neu werden GET-Parameter TYPEAHEAD_API_QUERY und TYPEAHEAD_API_PREFETCH begrenzt auf TYPEAHEAD_API_MAX_LENGTH - das sollte reichen.
Actions #13

Updated by Carsten Rose about 1 month ago

  • Target version changed from 22.12.3 to 22.12.2

Check ob das nicht schon lange gefixt ist

Actions #14

Updated by Enis Nuredini 9 days ago

  • Assignee changed from Carsten Rose to Enis Nuredini
Actions #15

Updated by Enis Nuredini 9 days ago

  • Status changed from In Progress to ToDo
Actions

Also available in: Atom PDF