Sécurité asterisk: qui a lu le README-SERIOUSLY.bestpractices.txt ?

[jean]

Je dois avouer, pas moi (dit le chat...)....

Document dans la racine des sources asterisk, a lire impérativement...

Notamment, on peut faire du "dialplan injection" dans asterisk:

[....]
For example, instead of just sending a request
to dial extension 500 (which in our example above would create the string
SIP/500 and is then used by the Dial() application to place a call), someone
could potentially send a string like "500&SIP/itsp/14165551212".

The string "500&SIP/itsp/14165551212" would then be contained within the
${EXTEN} channel variable, which is then utilized by the Dial() application in
our example, thereby giving you the dialplan line of:

exten => _X.,n,Dial(SIP/500&SIP/itsp/14165551212)

bonne lecture.....

[Reaper]

Ça fait un bon moment, c'est pour cette raison il ne faut pas utiliser "_X."

[ffossard]

Ni même tout masque qui n'est pas limité dans sa longueur et ses caractères autorisés ...
C'est pour ça que je déconseille aussi aux débutants les comptes sip numériques, c'est beau la facilité de faire "exten => _5XX,1,dial(SIP/${EXTEN})", mais bonjour la sécurité ...

[Reaper]

Mais bon, il faut deviner nom de itsp, et puis trouver un qui accepte les apels par défaut ect.

[jean]

;-) c'est ce qu'ils disaient chez sony pour le PSP network....

[Reaper]

Mais pour serveur apache xD

[therebel23]

Ça fait un bon moment, c'est pour cette raison il ne faut pas utiliser "_X."

Qu'est ce qu'il faut utiliser si l'on souhaite à la fois les numéros au national (10 chiffres) et les numéros à l'international (longueur variable), et le tout en une seule expression ?

[Reaper]

Utiliser deux expressions.

[therebel23]

Pour l'international, à longueur variable je trouve pas le patern :

si je mets _00. ça n'empeche pas de concatener un &.

[quintana]

Sinon tu peux aussi faire une agi ou un bout de dialplan pour vérifier si le résultat de EXTEN est ce que tu souhaites avant de la passer dans Dial().