rt/t/security/CVE-2011-2083-cf-urls.t

   1 use strict;
   2 use warnings;
   3
   4 use RT::Test tests => undef;
   5
   6 my ($base, $m) = RT::Test->started_ok;
   7
   8 my $link = RT::Test->load_or_create_custom_field(
   9     Name            => 'link',
  10     Type            => 'Freeform',
  11     MaxValues       => 1,
  12     Queue           => 0,
  13     LinkValueTo     => '__CustomField__',
  14 );
  15
  16 my $include = RT::Test->load_or_create_custom_field(
  17     Name                    => 'include',
  18     Type                    => 'Freeform',
  19     MaxValues               => 1,
  20     Queue                   => 0,
  21     IncludeContentForValue  => '__CustomField__',
  22 );
  23
  24 my $data_uri = 'data:text/html;base64,PHNjcmlwdD5hbGVydChkb2N1bWVudC5jb29raWUpPC9zY3JpcHQ+';
  25 my $xss      = q{')-eval(decodeURI('alert("xss")'))-('};
  26
  27 my $ticket = RT::Ticket->new(RT->SystemUser);
  28 $ticket->Create(
  29     Queue                       => 'General',
  30     Subject                     => 'ticket A',
  31     'CustomField-'.$link->id    => $data_uri,
  32     'CustomField-'.$include->id => $xss,
  33 );
  34 ok $ticket->Id, 'created ticket';
  35
  36 ok $m->login('root', 'password'), "logged in";
  37 $m->get_ok($base . "/Ticket/Display.html?id=" . $ticket->id);
  38
  39 # look for lack of link to data:text/html;base64,...
  40 ok !$m->find_link(text => $data_uri), "no data: link";
  41 ok !$m->find_link(url  => $data_uri), "no data: link";
  42
  43 # look for unescaped JS
  44 $m->content_lacks($xss, 'escaped js');
  45
  46 $m->warning_like(qr/Potentially dangerous URL type/, "found warning about dangerous link");
  47 undef $m;
  48 done_testing;