Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

cleanup: hacker@-Marker raus (legitime Nachnamen "Hacker")

Browse Source 
Familie Hacker / Kunden mit "Hacker" als Nachnamen nutzen reichlich
hacker@familie-hacker.de & Co. Das `^hacker@`-Pattern hätte alle
fälschlich als Pentest-Marker erkannt. Raus damit.

Verbleibende Marker reichen aus:
- ^attacker@, ^pentest@, @evil.
- <script, onerror=, javascript:
- SQL-Injection-Pattern, Path-Traversal

Verifiziert: hacker@familie-hacker.de geht durch, attacker@evil.de
wird weiterhin erkannt.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
duffyduck
2026-05-18 20:50:36 +02:00
parent b87a2a3d08
commit 0f2dc44e45
1 changed files with 4 additions and 3 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/prisma/cleanup-xss-and-mass-assignment.ts
+4 -3
View File
@@ -76,11 +76,12 @@ async function cleanupAppSettings() {
} }
// Pattern, die auf typische Pentest-/Test-Daten hindeuten. Bewusst eng // Pattern, die auf typische Pentest-/Test-Daten hindeuten. Bewusst eng
// gefasst, damit legitime Kunden mit "hacker" o.ä. im Nachnamen NICHT // gefasst legitime Kunden mit "Hacker" als Nachnamen sollen nicht
// als Pentest-Marker durchgehen ("stefanhacker@gmx.de" ist echt). // fälschlich getroffen werden (gibt's reichlich, gerade hier).
// Konkret weggelassen: `^hacker@` würde Verwandte/Kunden mit
// `hacker@familie-hacker.de` o.ä. fängen.
const PENTEST_MARKERS = [ const PENTEST_MARKERS = [
/@evil\./i, /@evil\./i,
/^hacker@/i, // Email beginnt mit "hacker@" nicht im Mittelteil
/^attacker@/i, /^attacker@/i,
/^pentest@/i, /^pentest@/i,
/<script\b/i, // unverwechselbarer XSS-Marker /<script\b/i, // unverwechselbarer XSS-Marker