Custom pages "indépendantes": Attention à la sécurité!
Publié : 14 juin 2023, 09:16
Hello,
Je voudrais attirer l'attention sur un pb des custom pages qui ne soient pas une remise en forme d'info domoticz, mais en qqsorte indépendantes, dans le cadre d'une interface ouverte sur l'extérieur (nom domaine+https+let's encrypt classiquement): Je me suis rendu compte depuis un moment que celles-ci pouvaient être rechargées de dehors sans limitation après s'être connecté (changer d'onglet vers d'autres pages générant par contre une redirection vers la page login).
En fait, il s'est avéré après avoir attiré l'attention à l'occasion d'une autre discussion sur ce thème que c'est plus grave (passant toujours par la page principale avant, je ne m'étais pas rendu compte que c'était totalement "open bar"):
https://www.domoticz.com/forum/viewtopi ... 83#p303883
Bref, si on connaît le nom exact d'une page custom n'utilisant pas de données/API Domoticz (juste le serveur web intégré) on y accède direct sans authentification, cette dernière n'étant pas gérée globalement... Oups!
Pas vu de trace de fuzzing du site de Domoticz chez moi mais en attendant d'y voir plus clair l'ajout d'une iframe masquée vers la page de login Domoticz semble faire le job et renvoyer vers cette dernière quand on n'est pas déjà authentifié.
Perso, je trouve que c'est vraiment piégeux comme comportement.
Je voudrais attirer l'attention sur un pb des custom pages qui ne soient pas une remise en forme d'info domoticz, mais en qqsorte indépendantes, dans le cadre d'une interface ouverte sur l'extérieur (nom domaine+https+let's encrypt classiquement): Je me suis rendu compte depuis un moment que celles-ci pouvaient être rechargées de dehors sans limitation après s'être connecté (changer d'onglet vers d'autres pages générant par contre une redirection vers la page login).
En fait, il s'est avéré après avoir attiré l'attention à l'occasion d'une autre discussion sur ce thème que c'est plus grave (passant toujours par la page principale avant, je ne m'étais pas rendu compte que c'était totalement "open bar"):
https://www.domoticz.com/forum/viewtopi ... 83#p303883
Bref, si on connaît le nom exact d'une page custom n'utilisant pas de données/API Domoticz (juste le serveur web intégré) on y accède direct sans authentification, cette dernière n'étant pas gérée globalement... Oups!
Pas vu de trace de fuzzing du site de Domoticz chez moi mais en attendant d'y voir plus clair l'ajout d'une iframe masquée vers la page de login Domoticz semble faire le job et renvoyer vers cette dernière quand on n'est pas déjà authentifié.
Perso, je trouve que c'est vraiment piégeux comme comportement.