Fix mp security by Aabu

[artragis]

Security breach : voici le rapport

Sous ces conditions :

• il faut être connecté ;
• il faut connaître l'ID d'un MP et son slug ;
• il faut que la personne soit seule dans le MP cible ;

alors, il est possible de faire quitter le MP à la personne alors qu'on n'est pas cette personne.

J'ai pu le faire en rejouant la requête envoyée lors qu'on quitte le MP, ce qui a eu pour effet de faire quitter l'autre personne. On n'est pas obligé d'être un ancien participant, on peut reprendre n'importe quelle requête qui quitte un MP et changer la cible.

La faille a été fix sur beta et dev avec le code joint.

[coveralls]

Coverage increased (+0.001%) to 88.318% when pulling 6401fa6 on artragis:fix_mps into e78c57a on zestedesavoir:dev.

[philippemilink]

Merci pour le fix (et son déploiement !)

Est-ce que tu peux ajouter un test pour ton fix et qui s'assure qu'on n'aura pas de régression, stp ?

[Situphen]

Cela corrige bien la faille de sécurité que tu as détaillé !

[Situphen]

J'avais envie donc j'ai écrit le test en question :

diff --git a/zds/mp/tests/tests_views.py b/zds/mp/tests/tests_views.py
index f1f1886d9..f3700289c 100644
--- a/zds/mp/tests/tests_views.py
+++ b/zds/mp/tests/tests_views.py
@@ -625,6 +625,7 @@ class LeaveViewTest(TestCase):
     def setUp(self):
         self.profile1 = ProfileFactory()
         self.profile2 = ProfileFactory()
+        self.profile3 = ProfileFactory()
 
         self.anonymous_account = UserFactory(username=settings.ZDS_APP["member"]["anonymous_account"])
         self.bot_group = Group()
@@ -650,6 +651,14 @@ class LeaveViewTest(TestCase):
             response, reverse("member-login") + "?next=" + reverse("mp:leave", args=[1, "private-topic"])
         )
 
+    def test_denies_leave_topic_as_random_member(self):
+        self.client.force_login(self.profile3.user)
+
+        response = self.client.post(reverse("mp:leave", args=[self.topic1.pk, self.topic1.slug()]), follow=True)
+
+        self.assertEqual(403, response.status_code)
+        self.assertEqual(1, PrivateTopic.objects.filter(pk=self.topic1.pk).count())
+
     def test_fail_leave_topic_no_exist(self):
 
         response = self.client.post(reverse("mp:leave", args=[999, "private-topic"]))

[artragis]

Merci pour le test, c'est intégré.

[Arnaud-D]

QA OK ✔️

(J'ai fumé la moquette sur le message de commit cependant, mais trop tard ! :D)