Server-tools: auth_brute_force ne prend pas en compte les tentatives de connexion xmlrpc / jsonrpc

Créé le 10 janv. 2018  ·  3Commentaires  ·  Source: OCA/server-tools

Il est possible de contourner la sécurité auth_brute_force en essayant de se connecter via xmlrpc / jsonrpc. Les tentatives de connexion effectuées de cette manière ne sont pas vérifiées par le module et ne comptent pas dans la limite des tentatives infructueuses vers l'interdiction.

Je dirais que l'interface jsonrpc est la préférée pour les outils de bruteforcing, donc IMO cette limitation n'est pas négligeable.

bug
Source
picture LeartS

Commentaire le plus utile

Salut @lasley. Je me suis permis de changer l'étiquette que vous avez définie. Je pense que "bug" est plus approprié car ce que @LeartS parle rend ce module inutile.

picture legalsylvain le 11 janv. 2018
👍2

Tous les 3 commentaires

: +1: Quand j'ai écrit ce module, je viens de tester avec des tentatives d'interface utilisateur frontale.
cela pourrait être un bon ajout pour enregistrer les essais de xmlrpc. Pensez-vous que vous pourriez faire un PR?

Cordialement.

legalsylvain picture legalsylvain le 10 janv. 2018

Salut @lasley. Je me suis permis de changer l'étiquette que vous avez définie. Je pense que "bug" est plus approprié car ce que @LeartS parle rend ce module inutile.

legalsylvain picture legalsylvain le 11 janv. 2018
👍2

Le correctif est sur https://github.com/OCA/server-tools/pull/1219 , continuons là.

Yajo picture Yajo le 27 avr. 2018
Cette page vous a été utile?
0 / 5 - 0 notes

Questions connexes

pedrobaeza picture pedrobaeza  ·  66Commentaires
legalsylvain picture legalsylvain  ·  34Commentaires
naglis picture naglis  ·  3Commentaires
kittiu picture kittiu  ·  5Commentaires
OCA-git-bot picture OCA-git-bot  ·  30Commentaires