Project

General

Profile

Actions

Bug #4018

closed

typeahead: long query parameter / answer triggers 'Attack detected' and purges current SIP storage.

Added by Carsten Rose over 6 years ago. Updated 11 months ago.

Status:
Closed
Priority:
Normal
Assignee:
Enis Nuredini
Target version:
Start date:
01.07.2017
Due date:
% Done:

0%

Estimated time:
Discuss:
Prio Planung:
No
Vote:

Description

  • maybe a post request?
  • Problem was #4009
Situation:
  • User loads form
  • use typeahead against uzh webpass
  • shortname as column
  • user save and close record
  • user open form with saved record again
  • form loads
  • typeAheadLdapSearchPrefetch: typeahead fires a query after form load to display expanded LDAP search query. for this it uses the expanded value. this is not clear to CR why.
  • The expanded value exceeds the SECURITY_GET_MAX_LENGTH of 50.

Files


Related issues

Related to QFQ - Bug #9077: typeAheadSql: report broken SQLNewCarsten Rose10.09.2019

Actions
Related to QFQ - Bug #5788: DoS-String für TypeAHeadClosedCarsten Rose06.04.2018

Actions
Actions #3

Updated by Carsten Rose about 6 years ago

  • Target version set to next9
Actions #4

Updated by Carsten Rose almost 4 years ago

  • Status changed from New to Some day maybe
Actions #5

Updated by Carsten Rose over 1 year ago

  • File clipboard-202206292238-xftuq.png clipboard-202206292238-xftuq.png added
  • Subject changed from typeahead: solve problem with potential long query parameter to typeahead: long query parameter / answer triggers 'Attack detected' and purges current SIP storage.
  • Status changed from Some day maybe to New
  • Target version changed from next9 to 24.3.0
  • Das duerfte auch das Problem in #14440 gewesen sein.
  • Beim laden des Forms wurde die eingestellte Security.MaxLength uberschritten

  • Effekt: das Form konnte geladen werden, danach war aber die SIP kaputt! Erst bei dem naechsten Klick auf z.B. einen SIP kodierten Button, oder wenn man einfach Reload (F5) gedrueckt hat, hat QFQ gemeldet 'invalid SIP'.

Steps:

  • Wenn QFQ merkt 'oops, attack detected' - dann sollte QFQ das auch dem Benutzer mitteilen oder z.B. im Log etwas notieren.
  • Das hochsetzen von `security.securityGetMaxLength` ist schlecht. TypeAhead Felder sollten einen eigenen Mechanismus bekommen, damit sie automatisch die maximale Laenge vertragen. Sollte bei einem SQL / LDAP Answer mehr geliefert werden, einfach abschneiden, keinen Fehler produzieren! Es gibt bereits eine Moeglihckeit das Feldnamen eine individuelle MaxLength bekomen '256_StandGeschaeft' z.B.. Dies koennte automatisch gesetzt werden bei TypeAhead Feldern.
  • Wenn der Bug behoben ist, sollten alle QFQ Instanzen zurueck auf 50 Chars gesetzt werden.
Actions #6

Updated by Carsten Rose over 1 year ago

  • Related to Bug #9077: typeAheadSql: report broken SQL added
Actions #7

Updated by Carsten Rose over 1 year ago

  • Related to Bug #5788: DoS-String für TypeAHead added
Actions #8

Updated by Carsten Rose over 1 year ago

  • Tracker changed from Feature to Bug
  • Status changed from New to In Progress
  • Prio Planung set to No
Actions #11

Updated by Carsten Rose over 1 year ago

  • Target version changed from 24.3.0 to 24.1.0
Actions #12

Updated by Carsten Rose over 1 year ago

  • Den Parameter TYPEAHEAD_API_MAX_LENGTH = 512; gab es schon laenger - aber scheinbar war der nicht aktiv (Fehler in der Programmierung)
  • Neu werden GET-Parameter TYPEAHEAD_API_QUERY und TYPEAHEAD_API_PREFETCH begrenzt auf TYPEAHEAD_API_MAX_LENGTH - das sollte reichen.
Actions #13

Updated by Carsten Rose about 1 year ago

  • Target version changed from 24.1.0 to 23.12.2

Check ob das nicht schon lange gefixt ist

Actions #14

Updated by Enis Nuredini about 1 year ago

  • Assignee changed from Carsten Rose to Enis Nuredini
Actions #15

Updated by Enis Nuredini about 1 year ago

  • Status changed from In Progress to ToDo
Actions #16

Updated by Carsten Rose 11 months ago

  • Status changed from ToDo to Priorize
  • Target version changed from 23.12.2 to 24.2.0
Actions #17

Updated by Carsten Rose 11 months ago

  • Target version changed from 24.2.0 to 22.12.1
Actions #18

Updated by Carsten Rose 11 months ago

  • Status changed from Priorize to Closed
  • Target version changed from 22.12.1 to 22.8.0
Actions

Also available in: Atom PDF