漏洞概述 该漏洞涉及在默认情况下要求使用HTTPS来发送REST钩子订阅URL。默认情况下,系统不允许使用不安全的HTTP URL,除非显式配置允许。 影响范围 受影响文件: - - - - 具体影响: - 默认情况下,REST钩子订阅URL必须使用HTTPS。 - 如果尝试使用HTTP URL,系统将抛出错误,除非显式配置允许使用不安全的URL。 修复方案 1. 配置类型更新: - 在 中添加了 布尔字段,用于控制是否允许使用不安全的REST钩子URL。 2. 配置工具更新: - 在 中,将 添加到 集合中,确保该配置项可以被正确解析。 3. 测试用例更新: - 在 中添加了两个测试用例: - 一个测试用例验证默认情况下拒绝不安全的REST钩子URL。 - 另一个测试用例验证在配置允许的情况下,可以使用不安全的REST钩子URL。 4. 订阅工作器更新: - 在 中,添加了 函数,用于验证REST钩子URL是否安全。 - 在 函数中,调用 来确保URL的安全性。 POC代码 总结 该漏洞通过默认要求使用HTTPS来增强系统的安全性,防止了潜在的不安全URL使用。通过配置选项 ,用户可以在需要时显式允许使用不安全的URL。