Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Pentest 49.1 LOW: Re-Auth jetzt auf JEDE portalUrl-Änderung

Browse Source 
Bisher prüfte der Re-Auth-Trigger nur den Host – `https://1und1.de/foo`
→ `https://1und1.de/phishing/path` ging ohne currentPassword durch.
Damit konnte ein gestohlener JWT Phishing-Pfade auf trusted Domains
plazieren.

Backend (provider.controller): normalizeUrlForCompare vergleicht
jetzt die komplette URL (Trailing-Slash, Whitespace, Case),
nicht nur den Host. hostOf-Helper entfernt.

Frontend (ProviderModal): gleiche Normalisierung im UI, damit der
Bestätigungs-Banner mit der Backend-Prüfung synchron läuft.
Banner-Text leicht angepasst (nicht mehr "Domain wurde geändert"
sondern generisch "Portal-URL wurde geändert").

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
duffyduck
2026-06-01 13:46:56 +02:00
parent 5d21574c81
commit 57eb29c2a6
2 changed files with 21 additions and 20 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/controllers/provider.controller.ts
+12 -10
View File
@@ -25,9 +25,13 @@ async function requireCallerPasswordReAuth(req: AuthRequest, providedPassword: u
return { ok: true };
}
function hostOf(url: string | null | undefined): string | null {
if (!url) return null;
try { return new URL(url).host.toLowerCase(); } catch { return null; }
// Pentest 49.1 (LOW, 2026-06-01): nur Host-Vergleich ließ Pfad-Änderungen
// am gleichen Host (z.B. `https://1und1.de/neue/pfad`) ohne Re-Auth
// durchgehen ein gestohlener JWT konnte Phishing-Pfade auf trusted
// Domains plazieren. Jetzt vergleichen wir die komplette normalisierte
// URL (Trailing-Slash, Whitespace).
function normalizeUrlForCompare(url: string | null | undefined): string {
return (url ?? '').trim().replace(/\/+$/, '').toLowerCase();
}
export async function getProviders(req: Request, res: Response): Promise<void> {
@@ -107,15 +111,13 @@ export async function updateProvider(req: Request, res: Response): Promise<void>
const providerId = parseInt(req.params.id);
const { currentPassword, ...providerData } = req.body || {};
// 47.1: portalUrl-Domain-Wechsel braucht Re-Auth. Wir laden den
// bisherigen Wert und vergleichen den Host nur dann ist es ein
// sensible Operation. Reine Namens-/Tarif-Edits bleiben friction-frei.
// 47.1 + 49.1: jede portalUrl-Änderung braucht Re-Auth inkl. reiner
// Pfad-Änderungen am gleichen Host (Phishing-Pfade auf trusted Domain).
// Reine Namens-/Tarif-Edits bleiben friction-frei.
if (providerData.portalUrl !== undefined) {
const before = await providerService.getProviderById(providerId);
const oldHost = hostOf(before?.portalUrl);
const newHost = hostOf(providerData.portalUrl);
const isDomainChange = (newHost && newHost !== oldHost) || (oldHost && !newHost);
if (isDomainChange) {
const isUrlChange = normalizeUrlForCompare(before?.portalUrl) !== normalizeUrlForCompare(providerData.portalUrl);
if (isUrlChange) {
const reauth = await requireCallerPasswordReAuth(req as AuthRequest, currentPassword);
if (!reauth.ok) {
res.status(reauth.status).json({ success: false, error: reauth.error } as ApiResponse);