You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Po nowych zmianach w kontrolerach powstały dziury w zabezpieczeniach - zwykły user może zrobić rzeczy których nie powinien móc zrobić, np. stworzyć puszkę.
Dodałem łatę w jednym miejscu, ale powinny powstać takie testy dla wszystkich endpointów, upewniające się że zwykły user np. nie podejrzy logów albo tajnych danych wolontariusza (numer telefonu powinien być wycięty z response api dla zwykłego usera!!).
AC: Istnieją automatyczne testy dla wszytskich endpointów, odpalające je z poziomu zwykłego usera, collector coordinatora i admina i sprawdzające redirect + response + http code.
The text was updated successfully, but these errors were encountered:
Po nowych zmianach w kontrolerach powstały dziury w zabezpieczeniach - zwykły user może zrobić rzeczy których nie powinien móc zrobić, np. stworzyć puszkę.
https://github.com/akai-org/wosp-puszki/blob/master/server/tests/Feature/Api/Box/GiveBoxTest.php#L76
Dodałem łatę w jednym miejscu, ale powinny powstać takie testy dla wszystkich endpointów, upewniające się że zwykły user np. nie podejrzy logów albo tajnych danych wolontariusza (numer telefonu powinien być wycięty z response api dla zwykłego usera!!).
AC: Istnieją automatyczne testy dla wszytskich endpointów, odpalające je z poziomu zwykłego usera, collector coordinatora i admina i sprawdzające redirect + response + http code.
The text was updated successfully, but these errors were encountered: