Security-Hardening Runde 2: Zip-Slip, Mass Assignment, weitere IDORs, Path-Traversal

Nach der ersten Runde habe ich parallel 3 Audit-Agents auf die Codebase
angesetzt. Die fanden noch eine Menge: Zip-Slip, Mass Assignment inkl.
Privilege Escalation, 13 weitere IDOR-Stellen, 2x Path-Traversal.

Alles gefixt. Details + Angriffsvektoren in docs/SECURITY-REVIEW.md.

🔴 KRITISCH gefixt:

1. Zip-Slip im Backup-Upload: extractAllTo() entpackte bösartige ZIPs ohne
   Pfad-Validierung. Ein Angreifer mit Admin-Zugang hätte mit einem ZIP
   mit Entries wie ../../etc/crontab das ganze Filesystem überschreiben
   können. Jetzt wird jeder ZIP-Entry einzeln validiert (path.resolve,
   starts-with-Check). Absolute Pfade + Null-Bytes werden abgelehnt.

2. Mass Assignment bei Customer/User Controllers:
   - updateCustomer/createCustomer: req.body ging komplett an Prisma.
     Angreifer konnte portalPasswordHash, portalPasswordResetToken,
     consentHash, customerNumber direkt setzen.
   - updateUser/createUser: roleIds und isActive waren übernehmbar.
     **Privilege Escalation**: normaler Mitarbeiter konnte sich Admin-Rechte
     durch PUT /users/:id mit {"roleIds":[1]} geben, oder andere User
     deaktivieren.
   Fix: Neue Whitelist-Helper pickCustomerCreate/Update, pickUserCreate/Update
   in utils/sanitize.ts. Nur erlaubte Felder werden durchgelassen.

3. IDOR bei 13 weiteren Endpoints (neben denen aus Runde 1):
   - GET /meters/:meterId/readings
   - GET /emails/:emailId/attachments/:filename
   - GET /emails/:emailId/attachments (Liste)
   - GET /customers/:customerId/emails
   - GET /contracts/:contractId/emails
   - GET /emails/:id (einzelne Email)
   - GET /stressfrei-emails/:id (leakte emailPasswordEncrypted)
   - weitere…
   Fix: accessControl.ts ausgebaut um canAccessAddress, canAccessBankCard,
   canAccessIdentityDocument, canAccessMeter, canAccessStressfreiEmail,
   canAccessCachedEmail. In allen betroffenen Endpoints angewendet.

🟡 WICHTIG gefixt:

4. Path-Traversal bei Backup-Name (GET /settings/backup/:name/*): req.params.name
   wurde ohne Filter in path.join. Neuer isValidBackupName() erlaubt nur
   [A-Za-z0-9_-]+ ohne "..".

5. Path-Traversal bei GDPR-Proof-Download: proofDocument-Pfad aus DB wurde
   ohne Validation gejoined. Jetzt path.resolve + starts-with-uploads-Check.

Neue/erweiterte Files:
- backend/src/utils/accessControl.ts - 6 neue can-Access-Helper
- backend/src/utils/sanitize.ts - 4 neue Whitelist-pick-Helper
- docs/SECURITY-REVIEW.md - Runde 2 dokumentiert

Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

backend/src/utils/accessControl.ts

@@ -105,3 +105,122 @@ export async function canAccessCustomer(
 
   return true;
 }
+
+/**
+ * Generische Zugriffsprüfung: Ressource → customerId → canAccessCustomer.
+ */
+async function canAccessResourceByCustomerId(
+  req: AuthRequest,
+  res: Response,
+  customerId: number | null | undefined,
+  resourceLabel: string,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+
+  if (!customerId) {
+    res.status(404).json({ success: false, error: `${resourceLabel} nicht gefunden` });
+    return false;
+  }
+  return canAccessCustomer(req, res, customerId);
+}
+
+/**
+ * Zugriff auf eine Adresse prüfen (lädt sie aus der DB, prüft customerId).
+ */
+export async function canAccessAddress(
+  req: AuthRequest,
+  res: Response,
+  addressId: number,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+  const addr = await prisma.address.findUnique({
+    where: { id: addressId },
+    select: { customerId: true },
+  });
+  return canAccessResourceByCustomerId(req, res, addr?.customerId, 'Adresse');
+}
+
+/**
+ * Zugriff auf eine BankCard prüfen.
+ */
+export async function canAccessBankCard(
+  req: AuthRequest,
+  res: Response,
+  bankCardId: number,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+  const card = await prisma.bankCard.findUnique({
+    where: { id: bankCardId },
+    select: { customerId: true },
+  });
+  return canAccessResourceByCustomerId(req, res, card?.customerId, 'Bankkarte');
+}
+
+/**
+ * Zugriff auf ein IdentityDocument prüfen.
+ */
+export async function canAccessIdentityDocument(
+  req: AuthRequest,
+  res: Response,
+  documentId: number,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+  const doc = await prisma.identityDocument.findUnique({
+    where: { id: documentId },
+    select: { customerId: true },
+  });
+  return canAccessResourceByCustomerId(req, res, doc?.customerId, 'Ausweis');
+}
+
+/**
+ * Zugriff auf einen Meter prüfen.
+ */
+export async function canAccessMeter(
+  req: AuthRequest,
+  res: Response,
+  meterId: number,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+  const meter = await prisma.meter.findUnique({
+    where: { id: meterId },
+    select: { customerId: true },
+  });
+  return canAccessResourceByCustomerId(req, res, meter?.customerId, 'Zähler');
+}
+
+/**
+ * Zugriff auf eine StressfreiEmail prüfen.
+ */
+export async function canAccessStressfreiEmail(
+  req: AuthRequest,
+  res: Response,
+  stressfreiEmailId: number,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+  const sfe = await prisma.stressfreiEmail.findUnique({
+    where: { id: stressfreiEmailId },
+    select: { customerId: true },
+  });
+  return canAccessResourceByCustomerId(req, res, sfe?.customerId, 'E-Mail-Konto');
+}
+
+/**
+ * Zugriff auf eine CachedEmail prüfen (StressfreiEmail → customerId).
+ */
+export async function canAccessCachedEmail(
+  req: AuthRequest,
+  res: Response,
+  emailId: number,
+): Promise<boolean> {
+  if (!req.user?.isCustomerPortal) return true;
+  const email = await prisma.cachedEmail.findUnique({
+    where: { id: emailId },
+    select: { stressfreiEmail: { select: { customerId: true } } },
+  });
+  return canAccessResourceByCustomerId(
+    req,
+    res,
+    email?.stressfreiEmail?.customerId,
+    'E-Mail',
+  );
+}