dataforge/osint_web
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity
Files
f5d15a9f7b1537310f14c692b88191dbb1289005
osint_web/server
T
History
egutierrez f5d15a9f7b fix(security): CR-injection vCard/iCal, guard anti-CSRF y permisos 0600 de la cache PII 
- _vcard_escape elimina el retorno de carro crudo: cubre tanto el vCard como
  SUMMARY/LOCATION del VEVENT (que reusan este escape), cerrando la inyeccion de
  propiedades iCal/vCard via un \r sin \n.
- Middleware que rechaza las peticiones mutantes marcadas cross-site por el
  navegador (Sec-Fetch-Site), cerrando el CSRF residual de los POST simples sin
  preflight (p.ej. /api/refresh) que el TrustedHost no filtra.
- La cache DAV en disco (.cache/*.json, contiene PII) se crea con permisos 0600
  via O_CREAT 0600 + os.chmod, sin depender del umask del proceso.

Co-Authored-By: Claude Fable 5 <noreply@anthropic.com>
2026-06-13 11:19:55 +02:00
..
main.py
fix(security): CR-injection vCard/iCal, guard anti-CSRF y permisos 0600 de la cache PII
2026-06-13 11:19:55 +02:00
osintdb_client.py
feat(contacts): multi-valor (varios tel/email/direccion) + libretas + backend osint_db (flag)
2026-06-13 00:47:38 +02:00