From 3c190e43fbce221c2326a230f0c79e9a6e611a3a Mon Sep 17 00:00:00 2001 From: duffyduck Date: Mon, 6 Jul 2026 00:40:08 +0200 Subject: [PATCH] Pentest R102: contractNumber-Whitelist nachgezogen MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit INFO-Finding: die interne CRM-Vertragsnummer war im Update-Path nicht durch validateContractIdentifier abgedeckt. ` → + `stripHtml` → leerer String → Vertragsnummer silent überschrieben. + - Fix: `contractNumber` zu `CONTRACT_IDENTIFIER_FIELDS` hinzugefügt – + bestehende R86-Whitelist (`^[A-Za-z0-9_\-/. ]{0,100}$`) greift + automatisch, R87-Fix (Raw-Input vor stripHtml) ist auch drin. + Legitime `GAS-MPVJ4P10FE8` bleibt OK, alle Angriffs-Payloads → 400. + - Doku in `SECURITY-HARDENING.md § Runde 102`. + - [x] **🔧 Pentest R101.1 – Inline-Preview-Pfad refaktoriert + Diagnose-Log** - Pentester R101.1 (INFO/funktional) berichtet: `?disposition=inline` bewirkt nichts, Browser zeigt Download-Dialog. Die Logik im