Pentest 2026-05-20 LOW/INFO Sammelfix

27.1 Path-Traversal-Strings in DB: - cleanupConsents validierte documentPath zuvor nur per stripHtml, ließ "../../../etc/passwd" durch. Neuer isValidDocumentPath-Check akzeptiert nur "/uploads/<safe>", alles andere → NULL. - cleanupDocumentPaths scannt fünf weitere Tabellen (BankCard, IdentityDocument, Invoice, RepresentativeAuthorization nullable; ContractDocument NOT NULL → nur Report). Orphaned User: - reportOrphanedUsers warnt beim Container-Start vor User ohne Rollenzuordnung (im Permission-System unsichtbar). Löschen nicht automatisch wegen False-Positive-Risiko. Seed-PW-Policy: - generateInitialPassword() nutzte Math.random() (vorhersagbar). Jetzt crypto.randomInt() für Pick + Fisher-Yates-Shuffle. PUT /users/:id mit permissions / password: - Vorher silent-drop durch Whitelist + HTTP 200, Caller glaubte faelschlich, Werte waeren uebernommen. Jetzt HTTP 400 mit konkreter Hilfe-Message. /api/health ohne Auth: - Pentest-Befund INFO: bewusst so, Container-Healthcheck und Reverse-Proxy pingen ohne Bearer-Token. Antwort liefert nur {status,timestamp} – keine Version, kein DB-Status, kein Info-Leak. Comment im Code dokumentiert die Entscheidung. Live-verifiziert auf dev: alle fuenf Findings durchgetestet, jeweils mit dirty Input → erwartete Sanitization/Antwort. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
2026-05-20 07:49:06 +02:00
parent adc3b70492
commit 8e48d3b432
5 changed files with 184 additions and 13 deletions
@@ -367,8 +367,13 @@ app.use('/api/birthdays', birthdayRoutes);
 app.use('/api/factory-defaults', factoryDefaultsRoutes);
 app.use('/api/monitoring', monitoringRoutes);

-// Health check
-app.get('/api/health', (req, res) => {
+// Health check – BEWUSST ohne Auth (Container-Healthcheck und Reverse-Proxy
+// pingen das ohne Bearer-Token). Antwort enthält absichtlich nur statisch
+// "ok" + Timestamp, keine Version, kein DB-Status, kein Hostname – damit
+// auch unauth Caller keine internen Infos einsammeln können. Pentest
+// 2026-05-20 (INFO): kein Auth → akzeptiert, Antwort liefert nichts
+// Sensibles.
+app.get('/api/health', (_req, res) => {
  res.json({ status: 'ok', timestamp: new Date().toISOString() });
 });