Skip to content
New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

脆弱性対応(4.1) #6059

Closed
wants to merge 232 commits into from
Closed

脆弱性対応(4.1) #6059

wants to merge 232 commits into from

Conversation

shinya
Copy link
Contributor

@shinya shinya commented Nov 6, 2023

概要(Overview・Refs Issue)

脆弱性対応のため、Twig Sandboxの機能を追加

方針(Policy)

実装に関する補足(Appendix)

テスト(Test)

相談(Discussion)

マイナーバージョン互換性保持のための制限事項チェックリスト

  • 既存機能の仕様変更はありません
  • フックポイントの呼び出しタイミングの変更はありません
  • フックポイントのパラメータの削除・データ型の変更はありません
  • twigファイルに渡しているパラメータの削除・データ型の変更はありません
  • Serviceクラスの公開関数の、引数の削除・データ型の変更はありません
  • 入出力ファイル(CSVなど)のフォーマット変更はありません

レビュワー確認項目

  • 動作確認
  • コードレビュー
  • E2E/Unit テスト確認(テストの追加・変更が必要かどうか)
  • 互換性が保持されているか
  • セキュリティ上の問題がないか
    • 権限を超えた操作が可能にならないか
    • 不要なファイルアップロードがないか
    • 外部へ公開されるファイルや機能の追加ではないか
    • テンプレートでのエスケープ漏れがないか

chihiro-adachi and others added 30 commits February 1, 2022 10:45
@chihiro-adachi
商品詳細画面のスキャンを追加
3e9f6bb
@carkn
ZAP シナリオ 当サイトについてを追加
0b61a72
@carkn
penetration-test.yml へabout.test.tsを追加
3ce3997
@nanasess
CSRFトークンとアラートフィルターを追加
772d7fd
@nanasess
必要なポリシーのみマウントする
f55c4c2
@nanasess
ZapClient の TypeDoc 追加
59ef851
@dependabot
Bump twig/twig from 2.14.10 to 2.14.11
9b7099c 
Bumps [twig/twig](https://github.com/twigphp/Twig) from 2.14.10 to 2.14.11.
- [Release notes](https://github.com/twigphp/Twig/releases)
- [Changelog](https://github.com/twigphp/Twig/blob/v2.14.11/CHANGELOG)
- [Commits](twigphp/Twig@v2.14.10...v2.14.11)

---
updated-dependencies:
- dependency-name: twig/twig
  dependency-type: direct:production
...

Signed-off-by: dependabot[bot] <support@github.com>
@dependabot
Bump follow-redirects from 1.14.7 to 1.14.8
25f07a5 
Bumps [follow-redirects](https://github.com/follow-redirects/follow-redirects) from 1.14.7 to 1.14.8.
- [Release notes](https://github.com/follow-redirects/follow-redirects/releases)
- [Commits](follow-redirects/follow-redirects@v1.14.7...v1.14.8)

---
updated-dependencies:
- dependency-name: follow-redirects
  dependency-type: indirect
...

Signed-off-by: dependabot[bot] <support@github.com>
@nanasess
各種URLの抽象化
188c8d7 
- ZapClient の proxy を省略できるよう修正
- baseURL は playwright.config から取得するよう修正
- ECCUBE_ADMIN_ROUTE を環境変数から取得するよう修正
@nanasess
アンチCSRFトークンとアラートフィルターを追加
754ac03
@nanasess
proxy の環境変数は不要になったため削除
b83b64c 
- refs #5282
@nanasess
脆弱性対応勉強会の資料へのリンクを追加
4f2024a
add ZAP test: content_layout.test.ts
e540271
@nanasess
管理画面>パスワード変更のテストを追加
b65e2d2 
パスワードを変更してしまうと、 OWASP ZAP の自動ログインが無効になり、
アクティブスキャンが継続できなくなってしまうため、パスワードの変更を抑
制するパッチを当てる必要がある
@nanasess
パスワード変更のテストを workflow に追加
0352e99
[wip] delete layout
70e42ad
管理画面>コンテンツ管理>ページ管理のテストを追加
1478262
@nanasess
skip 削除
6c01ec3
@carkn
OWASP ZAP用シナリオ 商品CSV登録 雛形ダウンロードを追加
7e40405
add patch file
fa2d267
@takeuji
[OWASP ZAP] 管理画面>コンテンツ管理>ブロック管理のテストを追加
976ec84
modify test.beforeAll
c3890c8
レビュー反映
2d86f02
E2Eテスト項目番号の調整
2232c90
@chihiro-adachi
セッションファイル名変更
c4aa44a
@watarukashii
商品CSV登録 販売制限数、通常価格の未指定の場合を追加
4990945
@watarukashii
本番モードのmonolog 調整
f636f1d
E2E追加: 在庫切れ商品の非表示 有効/無効
9306c25
E2E サイトマップ
151f9e8
codeception 用にルータースクリプトを追加
3f37d08
nanasess and others added 28 commits December 7, 2022 16:50
@nanasess
Add escape('js')
13b2855
@nanasess
テキストのみのデータは jQuery.text を使用する
24b6312
@chihiro-adachi
file.file_path のサニタイズ
0d346f2
@chihiro-adachi
Merge pull request from GHSA-g4gg-vv3p-x46m
3ee9c15 
[4.1]テキストのみのデータは jQuery.text を使用する
@chihiro-adachi
Merge pull request from GHSA-f3c6-mqp3-m5xw
dea45ec 
[4.1] JavaScript で出力する文字列にエスケープ処理を追加
@chihiro-adachi
Merge pull request from GHSA-cffv-7w52-pg3p
47a946f 
[4.1]file.file_path のサニタイズ
@chihiro-adachi
4.1.2-p2
2575ba3
@dotani1111
Merge pull request #5961 from chihiro-adachi/version-4.1.2-p2
cf690d7 
4.1.2-p2
@shinya
4.1にも変更内容を適用
261c74e
@shinya
yamlの反映漏れを追加
9ce13b0
@shinya
ホワイトリスト棚卸しの結果を反映
6afcf5e
@shinya
PHPStanでのtwig_includeエラーを無視する設定を追加
da6c760
@shinya
ubuntuのバージョンを変更
c280303
@shinya
ファイル名の変更(小文字を大文字に)
51fe67f
@shinya
GithubActionsのエラー対応
7983810
@shinya
GithubActionsのエラー対応
7accab6
@shinya
GithubActionsのエラー対応
ee5e153
@shinya
GithubActionsのエラー対応
06add0d
@shinya
GithubActionsのエラー対応
70a1a09
@shinya
GithubActionsのエラー対応
107e632
@shinya
2つのページだけwaitを挿入
0319497
@shinya
前の登録処理の完了を待つように変更
8b30e59
@shinya
誤ってcommitしたファイルを削除
fcca5ca
@shinya
二重で記述していた部分を削除
94f2a23
@dotani1111
fix:__toStringを許可する修正
8c8c86f
@dotani1111
ユニットテストの追加
82d7f7b
@dotani1111
ユニットテストの修正
00b2f5d
@dotani1111
不要コメントの削除
6b7955d
@shinya shinya closed this Nov 6, 2023
@dotani1111 dotani1111 deleted the feat_twig_sandbox_4.1 branch November 9, 2023 05:15
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment
Reviewers
No reviews
Assignees
No one assigned
Labels
None yet
Projects
None yet
Milestone
No milestone
Development

Successfully merging this pull request may close these issues.