Search found 3 matches

by mriva
Sun Feb 23, 2020 9:34 am
Forum: Installazione e Configurazione
Topic: Escalation di privilegi con token API
Replies: 2
Views: 135

Escalation di privilegi con token API

Mentre debuggavo il funzionamento dell'autenticazione tramite API, mi sono accorto di un problema che può portare ad un'escalation di privilegi partendo da un semplice utente base. C'è qualche membro del team di forma lms con cui posso comunicare privatamente per segnalare i dettagli? Preferirei non...
by mriva
Sun Feb 23, 2020 1:21 am
Forum: Installazione e Configurazione
Topic: api forma23
Replies: 15
Views: 507

Re: api forma23

La modifica che sto testando è passare (nel file 'api/lib/lib.api.php') da queste righe: static public function Execute($auth_code, $module, $function, $params) { if(!(new self())->checkAuthentication($auth_code)) { return false; } ... a queste public static function Execute($auth_code, $module, $fu...
by mriva
Sun Feb 23, 2020 12:11 am
Forum: Installazione e Configurazione
Topic: api forma23
Replies: 15
Views: 507

Re: api forma23

È passato un po' di tempo dall'ultima risposta, ma visto che mi sono appena scontrato con questo bug, riporto la mia esperienza. Il problema dell'autenticazione tramite token è che il codice di lms forma fa la checkAuthentication() anche sulla chiamata /api/auth/authenticate; ovviamente così non fun...