Security-Hardening Runde 17: JWT-TTL + Pentest-Marker-Detection
Pentest Runde 17: 21.1 Access-Token TTL war 7 Tage statt 15min: docker-compose.yml und .env.example standen schon richtig auf 15m als Default. Die alten Beispiel-.env-Files (backend/.env.example, docker/.env.example) hatten noch die alte Konvention "7d". Beide auf 15m korrigiert + explizites JWT_REFRESH_EXPIRES_IN=7d ergänzt. Auf prod muss die echte .env entsprechend angepasst werden. 17.5 Alte Pentest-Daten in DB: Cleanup-Script erweitert um Pentest-Marker-Erkennung: - Email-Pattern: ^hacker@, ^attacker@, ^pentest@, @evil\. - XSS-Marker: <script, onerror=, javascript: - Sonstige: SQL-Injection, Path-Traversal Bewusst eng gefasst (Marker MUSS am Email-Anfang stehen), damit legitime Kunden wie "stefanhacker@gmx.de" nicht als Pentest-Daten durchgehen. Default: nur warnen + Records auflisten. Opt-In via CLEANUP_PURGE_PENTEST=true löscht die markierten Customer/User. Live-verifiziert: - stefanhacker@gmx.de (echt) → durchgelassen - hacker@evil.de (Pentest) → erkannt + Warnung - Mit Purge-Env → gelöscht 18.4 Klartext-Portal-PW-Abruf: Bewusst drin gelassen (Admin-UI-Komfort). Endpoint ist mit customers:update-Permission gated + Audit-Log (READ → PortalPassword) – kein Bypass-Risiko, nur explizite Audit-Pflicht. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
@@ -9,7 +9,9 @@ DATABASE_URL="mysql://user:password@localhost:3306/opencrm"
|
||||
|
||||
# JWT
|
||||
JWT_SECRET="your-super-secret-jwt-key-change-in-production"
|
||||
JWT_EXPIRES_IN="7d"
|
||||
# Access kurz (XSS-Schutz, nur JS-Memory). Refresh lang im httpOnly-Cookie.
|
||||
JWT_EXPIRES_IN="15m"
|
||||
JWT_REFRESH_EXPIRES_IN="7d"
|
||||
|
||||
# Encryption (for portal credentials)
|
||||
ENCRYPTION_KEY="32-byte-hex-key-for-aes-256-gcm"
|
||||
|
||||
@@ -75,10 +75,84 @@ async function cleanupAppSettings() {
|
||||
console.log(` → AppSettings entfernt: ${removed.length}${removed.length ? ' (' + removed.join(', ') + ')' : ''}`);
|
||||
}
|
||||
|
||||
// Pattern, die auf typische Pentest-/Test-Daten hindeuten. Bewusst eng
|
||||
// gefasst, damit legitime Kunden mit "hacker" o.ä. im Nachnamen NICHT
|
||||
// als Pentest-Marker durchgehen ("stefanhacker@gmx.de" ist echt).
|
||||
const PENTEST_MARKERS = [
|
||||
/@evil\./i,
|
||||
/^hacker@/i, // Email beginnt mit "hacker@" – nicht im Mittelteil
|
||||
/^attacker@/i,
|
||||
/^pentest@/i,
|
||||
/<script\b/i, // unverwechselbarer XSS-Marker
|
||||
/\bonerror\s*=/i, // <img onerror=…>
|
||||
/javascript:/i, // javascript:-URL
|
||||
/'\s*OR\s*'1'\s*=\s*'1/i, // SQL-Injection
|
||||
/\.\.\/.*etc\/passwd/i, // Path-Traversal
|
||||
];
|
||||
|
||||
function looksLikePentestData(value: unknown): boolean {
|
||||
if (typeof value !== 'string') return false;
|
||||
return PENTEST_MARKERS.some((re) => re.test(value));
|
||||
}
|
||||
|
||||
async function findOrPurgePentestRecords() {
|
||||
const purge = process.env.CLEANUP_PURGE_PENTEST === 'true';
|
||||
const suspect: Array<{ kind: string; id: number; reason: string }> = [];
|
||||
|
||||
const customers = await prisma.customer.findMany();
|
||||
for (const c of customers) {
|
||||
for (const f of ['email', 'phone', 'mobile', 'firstName', 'lastName', 'companyName', 'notes']) {
|
||||
if (looksLikePentestData((c as any)[f])) {
|
||||
suspect.push({ kind: 'Customer', id: c.id, reason: `${f}=${JSON.stringify((c as any)[f]).slice(0, 60)}` });
|
||||
break;
|
||||
}
|
||||
}
|
||||
}
|
||||
const users = await prisma.user.findMany();
|
||||
for (const u of users) {
|
||||
for (const f of ['email', 'firstName', 'lastName']) {
|
||||
if (looksLikePentestData((u as any)[f])) {
|
||||
suspect.push({ kind: 'User', id: u.id, reason: `${f}=${JSON.stringify((u as any)[f]).slice(0, 60)}` });
|
||||
break;
|
||||
}
|
||||
}
|
||||
}
|
||||
|
||||
if (suspect.length === 0) {
|
||||
console.log(' → Keine Pentest-Marker in Customer/User-Records gefunden.');
|
||||
return;
|
||||
}
|
||||
|
||||
console.log(` → ${suspect.length} verdächtige Records (Pentest-Marker):`);
|
||||
for (const s of suspect) {
|
||||
console.log(` [${s.kind}#${s.id}] ${s.reason}`);
|
||||
}
|
||||
|
||||
if (!purge) {
|
||||
console.log(' ℹ️ Zum Löschen Container mit CLEANUP_PURGE_PENTEST=true neu starten,');
|
||||
console.log(' oder Records manuell über adminer entfernen.');
|
||||
return;
|
||||
}
|
||||
|
||||
for (const s of suspect) {
|
||||
if (s.kind === 'Customer') {
|
||||
await prisma.customer.delete({ where: { id: s.id } }).catch((e: any) => {
|
||||
console.log(` [Customer#${s.id}] Löschen fehlgeschlagen: ${e.message?.slice(0, 80)}`);
|
||||
});
|
||||
} else if (s.kind === 'User') {
|
||||
await prisma.user.delete({ where: { id: s.id } }).catch((e: any) => {
|
||||
console.log(` [User#${s.id}] Löschen fehlgeschlagen: ${e.message?.slice(0, 80)}`);
|
||||
});
|
||||
}
|
||||
}
|
||||
console.log(` → ${suspect.length} verdächtige Records gelöscht.`);
|
||||
}
|
||||
|
||||
async function main() {
|
||||
console.log('=== Cleanup: XSS-Reste + Mass-Assignment-AppSettings ===');
|
||||
await cleanupXss();
|
||||
await cleanupAppSettings();
|
||||
await findOrPurgePentestRecords();
|
||||
console.log('=== Fertig. ===');
|
||||
}
|
||||
|
||||
|
||||
Reference in New Issue
Block a user