Empêche un membre non staff d'en bannir un autre

[gllmc]

Q	R
Type de modification	correction d'une faille de sécurité

Avant tout, la faille est déjà fixée sur la prod, donc pas d'inquiétude !

Cette pull request corrige une faille de sécurité qui permettait à un membre de bannir, débannir ou annuler une sanction d'un autre membre sans avoir les droits staff. Un test est également ajouté pour éviter de reproduire cette erreur dans le futur.

Pour reproduire la faille (donc sur une version locale sans le fix), il faut envoyer une requête POST vers /membres/profil/modifier/{pk}/ avec pour paramètres :

• ban-text : le motif du bannissement ;
• csrfmiddlewaretoken : le token CSRF courant ;
• ban : pour indiquer qu'il s'agit d'un bannissement.

QA

• Vérifier qu'en suivant les instructions ci-dessus sans être staff, on reçoit bien une erreur 403 ;
• Vérifier qu'un membre du staff peut toujours sanctionner un membre.

[coveralls]

Coverage increased (+0.002%) to 87.684% when pulling aee6aa0 on GCodeur:correction_faille_ban into 6a1033b on zestedesavoir:prod.

[vhf]

Merci !