Hello Mathias, En effet, my bad pour public.xml, j'ai lu trop vite ( et me suis fait avoir par la coloration syntaxique du viewer bitbucket ), et n'avais pas vu que c'est commenté !
J'ai bien vu tes scripts ( d'ailleurs ça fait plaisir à voir, ça scale bien FS+lua, un peu comme xml_curl, mais sans dépendance à un webserver ), et c'est la justement ou j'ai une suspicion d'injection sql ( ça peut aller jusqu'au DOS suivant la version de PG... ). Tu ne sembles pas vérifier que le destination_number ( champs "To" ) est clean avant de lookup en DB par exemple... C'est très souvent la que se trouvent les failles en VOIP, dans les headers... Il faut ABSOLUMENT prendre le même soin avec ces valeurs qu'avec du GET/POST http... Une petite ereg ou une condition dans le dialplan et c'est réglé, ou alors on clean avec un frontal ofcourse ! On passe en privé si tu veux pour la suite ( quelques éléments redondants, quelques éléments de config qui se contredisent + conf nibblebill pour du prepaid ou j'ai qq doutes, qq ajouts à faire pour éviter le bruteforce des credentials, etc... ) ? En tout cas ça fait plaisir de voir un projet FR avec FS comme base, enfin autre chose que du "disasterisk" ! A te lire, Tristan. Le 16/06/2014 18:59, WMN : Mathias WOLFF a écrit : > Salut Tristan, > > Une grande partie du traitement se fait dans le code lua et non dans la > partie xml. > Par ailleurs, la partie public.xml n’est pas utilisé de manière standard > (ne renvoie pas vers default). > > Bien entendu, je suis preneur de tous tests et de remontées de bugs et > failles ainsi que de divers conseils > > Cordialement, > > Mathias WOLFF > > > > > Le 16 juin 2014 à 18:42, Tristan Mahé <[email protected] > <mailto:[email protected]>> a écrit : > >> Salut Seb, >> >> En regardant rapidement la source actuelle, injection sql probable ! >> >> A vérifier bien évidemment, il semblerait que seul un client identifié >> puisse s'amuser, et je n'ai pas le temps cette semaine de faire une >> install pour tester proprement ( je n'ai pas regardé la partie www, >> uniquement la partie freeswitch pour te répondre ). >> >> Sinon un clean du setup par défaut de freeswitch serait bien indiqué, au >> lieu de juste modifier le dialplan public et quelques autres fichiers de >> conf. On ne veut pas sur un switch public risquer les conférences et >> autres features codes marrants qui peuvent être détournés en fraude, >> surtout quand le dialplan public.xml retourne vers le default ( apres >> check de l'auth heureusement ! ) :) >> >> @Mathias, ne jamais trust ce qui vient du public, la c'est quand même >> risqué de déployer à grande échelle ! Par exemple un destination_number >> de type "'.*" devrait t'affoler, surtout quand ton code est public et >> que tu ne préconise pas dans la doc un frontal devant ton freeswitch >> pour clean tout ça :) >> >> Voila pour un retour rapide après 1/4h de lookup, si besoin d'un vrai >> test ( notamment de la partie prepaid ), dès que j'ai 2-3jours de libre >> je regarde ! >> >> My 2 cents... >> >> Le 16/06/2014 11:19, Sebastien Lesimple a écrit : >>> J'ai eu droit a un "Py c'est de la merde" a l'époque ou je m'y suis >>> intéressé. >>> Tristan, tu peux nous éclairer de tes analyses en la matière? >>> >>> >>>> Le 16 juin 2014 à 11:06, "WMN : Mathias WOLFF" >>>> <[email protected] <mailto:[email protected]>> a écrit : >>>> >>>> FusionPBX, c’est de l’IPBX, PyFreeBilling, c’est du wholesale >>>> >>>> Si la recherche est de l’IPBX, il y a 2 solutions sur Asterisk >>>> matures avec des objectifs très différents : astlinux et Xivo . >>>> >>>> >>>> Mathias WOLFF >>>> >>>> >>>> >>>> >>>>> Le 16 juin 2014 à 11:03, David Ponzone <[email protected] >>>>> <mailto:[email protected]>> a écrit : >>>>> >>>>> >>>>> Oui pour la fourniture de trunks/comptes en wholesale, mais à ma >>>>> connaissance, ça n’est pas adapté pour un usage iPBX. >>>>> Ou alors, il y a eu des évolutions récentes dans ce sens! >>>>> >>>>> Service Client IPeva >>>>> tel: 0811 46 26 26 >>>>> www.ipeva.fr <http://www.ipeva.fr> - www.ipeva-studio.com >>>>> <http://www.ipeva-studio.com> >>>>> >>>>> Ce message et toutes les pièces jointes sont confidentiels et >>>>> établis à l'intention exclusive de ses destinataires. Toute >>>>> utilisation ou diffusion non autorisée est interdite. Tout message >>>>> électronique est susceptible d'altération. IPeva décline toute >>>>> responsabilité au titre de ce message s'il a été altéré, déformé ou >>>>> falsifié. Si vous n'êtes pas destinataire de ce message, merci de >>>>> le détruire immédiatement et d'avertir l'expéditeur. >>>>> >>>>> >>>>> >>>>> >>>>>> Le 16 juin 2014 à 11:00, WMN : Mathias WOLFF >>>>>> <[email protected] <mailto:[email protected]>> a écrit : >>>>>> >>>>>> Je me permets d’ajouter PyFreeBilling >>>>>> >>>>>> Mathias WOLFF >>>>>> >>>>>> >>>>>> >>>>>> >>>>>>> Le 16 juin 2014 à 10:17, David Ponzone <[email protected] >>>>>>> <mailto:[email protected]>> a écrit : >>>>>>> >>>>>>> >>>>>>>> J'avais mes yeux dessus, j'ai 2 questions bêtes : >>>>>>>> >>>>>>>> 1. Combien de temps "humain" il faut pour installer un serveur >>>>>>>> qui a le noyau Freeswitch, un GUI (j'aime bien vi mais il y a >>>>>>>> des limites), et les pilotes pour les cartes TDM? Je fais un >>>>>>>> serveur Asterisk en 10 minutes de mon temps maxi (Centos, >>>>>>>> Asterisk, DAHDI, FreePBX, X, KDE) ; ça prends plus que çà en >>>>>>>> temps réel, mais je regarde pas l'herbe pousser pendant qu'il >>>>>>>> installe, je fais autre chose. >>>>>>> >>>>>>> Il y a effectivement moins d’alternatives en GUI pour FreeSWITCH. >>>>>>> Il y en a quand même 2 qui tiennent la route: >>>>>>> http://fusionpbx.com >>>>>>> >>>>>>> et un peu plus dur à installer: >>>>>>> http://www.freepybx.org >>>>>>> >>>>>>>> 2. Dans le cas ou l'on se sert de Freeswitch comme PBX, est-ce >>>>>>>> que 2 téléphones SIP peuvent partager la même extension (pas >>>>>>>> possible avec Asterisk) ? >>>>>>> >>>>>>> Extension dans quel sens ? >>>>>>> Au sens numéro interne ? au sens SIP ? >>>>>>> Ceci dit, les 2 sont possibles: avoir plusieurs postes >>>>>>> enregistrés sur le même compte SIP, ou un numéro interne qui est >>>>>>> acheminé vers plusieurs comptes SIP (dialgroup comme Raphael l’a >>>>>>> déjà indiqué). >>>>>>> >>>>>>>>> Déjà, tu mettras 10 fois plus de clients sur la même machine. >>>>>>>> >>>>>>>> Oui, mais pour 30 trunks.... quelque part j'ai un Asterisk qui >>>>>>>> tourne sur un PIII 500Mhz avec 256 MO de mémoire avec 60 >>>>>>>> clients. Se plante une fois par an, des fois. La dernière fois >>>>>>>> que j'ai regardé, le CPU était à quelques malheureux pourcent. >>>>>>> >>>>>>> C’est certain. >>>>>>> Je pense que FreeSWITCH se distingue plus du côté switch >>>>>>> opérateur (certains membres de la communauté ont des serveurs qui >>>>>>> gèrent 10 000 appels simultanés avec RTP), et du côté facilité de >>>>>>> développement d’applications maison. >>>>>>> >>>>>>> >>>>>>> --------------------------- >>>>>>> Liste de diffusion du FRnOG >>>>>>> http://www.frnog.org/ >>>>> >>>>> >>>>> --------------------------- >>>>> Liste de diffusion du FRnOG >>>>> http://www.frnog.org/ >>>> >>>> >>>> --------------------------- >>>> Liste de diffusion du FRnOG >>>> http://www.frnog.org/ >>> >>> >>> --------------------------- >>> Liste de diffusion du FRnOG >>> http://www.frnog.org/ >>> >> >> >
signature.asc
Description: OpenPGP digital signature
