Sécurité asterisk: qui a lu le README-SERIOUSLY.bestpractices.txt ?

[jean]

Je dois avouer, pas moi (dit le chat...)....

Document dans la racine des sources asterisk, a lire impérativement...

Notamment, on peut faire du "dialplan injection" dans asterisk:

[....]
For example, instead of just sending a request
to dial extension 500 (which in our example above would create the string
SIP/500 and is then used by the Dial() application to place a call), someone
could potentially send a string like "500&SIP/itsp/14165551212".

The string "500&SIP/itsp/14165551212" would then be contained within the
${EXTEN} channel variable, which is then utilized by the Dial() application in
our example, thereby giving you the dialplan line of:

exten => _X.,n,Dial(SIP/500&SIP/itsp/14165551212)

bonne lecture.....

[Reaper]

Ça fait un bon moment, c'est pour cette raison il ne faut pas utiliser "_X."

[ffossard]

Ni même tout masque qui n'est pas limité dans sa longueur et ses caractères autorisés ...
C'est pour ça que je déconseille aussi aux débutants les comptes sip numériques, c'est beau la facilité de faire "exten => _5XX,1,dial(SIP/${EXTEN})", mais bonjour la sécurité ...

[Reaper]

Mais bon, il faut deviner nom de itsp, et puis trouver un qui accepte les apels par défaut ect.

[jean]

;-) c'est ce qu'ils disaient chez sony pour le PSP network....

[Reaper]

Mais pour serveur apache xD

[therebel23]

C'est toujours vrai sur les dernieres versions d'asterisk cette histoire de concatener un &SIP/isp/1222432 ?

Concretement sur un softphone ou un téléphone SIP, on peut envoyer ce genre de chaine ?

[ffossard]

Bien sûr qu'on peut l'envoyer, la chaine de numérotation n'est pas du tout limitée aux chiffres, on a l'habitude des chiffres mais le protocole prévoit les autres caractères.

[therebel23]

Ça fait un bon moment, c'est pour cette raison il ne faut pas utiliser "_X."

Qu'est ce qu'il faut utiliser si l'on souhaite à la fois les numéros au national (10 chiffres) et les numéros à l'international (longueur variable), et le tout en une seule expression ?

[Reaper]

Utiliser deux expressions.