Hacker-Software/opencrm
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

Security-Hardening Runde 7: Pentest Runde 3 (3 Findings)

Browse Source 
KRITISCH – Privilege Escalation:
POST /api/developer/setup war ohne Auth erreichbar und konnte
developer:access der Admin-Rolle hinzufügen → volle DB-Kontrolle
via /developer/*-Routen. Endpoint ersatzlos entfernt; manuelles
Setzen geht über prisma/add-developer-permission.ts (CLI).

HOCH – Fehlende Migration auf Prod:
portalPasswordMustChange war im Code, aber prod-DB hatte die
Spalte nicht → jeder Kunden-Login warf Prisma-Schema-Error → DoS.
Root Cause: db push statt migrate dev während Entwicklung →
kein Migration-File im Repo. Fix: handgenerierte Migration
20260516173552_portal_password_must_change/migration.sql, lokal
mit migrate resolve --applied registriert, durch shadow-DB-Reset
verifiziert. entrypoint.sh führt migrate deploy bereits aus.

MITTEL – Prisma-Internals-Leak im Login-Error:
error.message wurde 1:1 an den Client gegeben → bei DB-Schema-
Fehlern leakten Tabellen- und Spaltennamen. Whitelist-Filter
safeLoginError() in auth.controller.ts: nur 'Ungültige
Anmeldedaten' und 'E-Mail und Passwort erforderlich' werden
durchgereicht, alles andere wird zu generischem 'Anmeldung
fehlgeschlagen' maskiert. Original landet im Server-Log.

Live-verifiziert:
- POST /api/developer/setup → HTTP 404
- Falsches Customer-PW → 'Ungültige Anmeldedaten' (keine Internals)
- Spalte testweise gedropped → 'Anmeldung fehlgeschlagen' (generisch),
  Original-Message nur im Server-Log
- Shadow-DB-Reset + migrate deploy → Spalte korrekt erzeugt

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
duffyduck
2026-05-16 19:39:02 +02:00
parent 8534be22d0
commit a7d12b8540
4 changed files with 60 additions and 46 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/prisma/migrations/20260516173552_portal_password_must_change/migration.sql
+2
View File
@@ -0,0 +1,2 @@
-- AlterTable
ALTER TABLE `Customer` ADD COLUMN `portalPasswordMustChange` BOOLEAN NOT NULL DEFAULT false;
backend/src/controllers/auth.controller.ts
+22 -2
View File
@@ -27,6 +27,26 @@ function clearRefreshCookie(res: Response): void {
res.clearCookie(REFRESH_COOKIE_NAME, { path: '/api/auth' });
}
// Whitelist von Fehlermeldungen, die wir an Login-Clients durchreichen dürfen.
// ALLES andere (Prisma-Internals, DB-Connection-Errors, Schema-Fehler, ...)
// wird als generisches "Anmeldung fehlgeschlagen" maskiert die Original-
// Message bleibt im Server-Log, leakt aber nicht im HTTP-Response. Pentest
// Runde 3 (2026-05-16): `prisma.customer.findUnique() invocation: The column
// X does not exist` war im Body sichtbar → Tabellen-/Spaltennamen geleakt.
const SAFE_LOGIN_ERRORS = new Set([
'Ungültige Anmeldedaten',
'E-Mail und Passwort erforderlich',
]);
function safeLoginError(err: unknown): string {
if (err instanceof Error && SAFE_LOGIN_ERRORS.has(err.message)) {
return err.message;
}
if (err instanceof Error) {
console.error('[Login] Unerwarteter Fehler (maskiert):', err.message);
}
return 'Anmeldung fehlgeschlagen';
}
// Mitarbeiter-Login
export async function login(req: Request, res: Response): Promise<void> {
const { email, password } = req.body || {};
@@ -68,7 +88,7 @@ export async function login(req: Request, res: Response): Promise<void> {
});
res.status(401).json({
success: false,
error: error instanceof Error ? error.message : 'Anmeldung fehlgeschlagen',
error: safeLoginError(error),
} as ApiResponse);
}
}
@@ -112,7 +132,7 @@ export async function customerLogin(req: Request, res: Response): Promise<void>
});
res.status(401).json({
success: false,
error: error instanceof Error ? error.message : 'Anmeldung fehlgeschlagen',
error: safeLoginError(error),
} as ApiResponse);
}
}
backend/src/routes/developer.routes.ts
+5 -44
View File
@@ -1,54 +1,15 @@
import { Router, Response } from 'express';
import { Prisma } from '@prisma/client';
import prisma from '../lib/prisma.js';
import { authenticate, requirePermission } from '../middleware/auth.js';
import { AuthRequest } from '../types/index.js';
const router = Router();
// Setup-Endpunkt: Erstellt die developer:access Permission und fügt sie der Admin-Rolle hinzu
// Dieser Endpunkt erfordert keine Authentifizierung, da er nur einmalig zum Setup verwendet wird
router.post('/setup', async (req, res: Response) => {
try {
// Create or get the developer:access permission
const developerPerm = await prisma.permission.upsert({
where: { resource_action: { resource: 'developer', action: 'access' } },
update: {},
create: { resource: 'developer', action: 'access' },
});
// Get the Admin role
const adminRole = await prisma.role.findUnique({
where: { name: 'Admin' },
include: { permissions: true },
});
if (!adminRole) {
res.status(404).json({ success: false, error: 'Admin-Rolle nicht gefunden' });
return;
}
// Check if Admin already has this permission
const hasPermission = adminRole.permissions.some(
(rp) => rp.permissionId === developerPerm.id
);
if (!hasPermission) {
await prisma.rolePermission.create({
data: {
roleId: adminRole.id,
permissionId: developerPerm.id,
},
});
res.json({ success: true, message: 'developer:access Permission wurde zur Admin-Rolle hinzugefügt. Bitte neu einloggen!' });
} else {
res.json({ success: true, message: 'Admin-Rolle hat bereits die developer:access Permission' });
}
} catch (error) {
console.error('Setup error:', error);
res.status(500).json({ success: false, error: 'Fehler beim Setup' });
}
});
// HINWEIS: Der frühere `POST /setup`-Endpoint wurde entfernt (Pentest Runde 3
// 2026-05-16 KRITISCH). Er war ohne Auth erreichbar und konnte
// `developer:access` an die Admin-Rolle hängen → Privilege-Escalation auf
// volle DB-Kontrolle. Wenn die developer:access-Permission manuell gesetzt
// werden muss, gibt es das CLI-Script `prisma/add-developer-permission.ts`.
// Tabellen-Metadaten mit Beziehungen
const tableMetadata: Record<string, {
docs/todo.md
+31
View File
@@ -97,6 +97,37 @@ isolierte Instanz (keine Multi-Tenancy im Code), Provisioning + Abrechnung
## ✅ Erledigt
- [x] **🚨 Pentest Runde 3 drei Findings gefixt**
- **KRITISCH `POST /api/developer/setup` ohne Auth (Privilege
Escalation)**: Endpoint war komplett ohne Authentifizierung
erreichbar und konnte der Admin-Rolle die `developer:access`-
Permission verleihen → kompletter DB-Zugriff über `/developer/*`.
**Fix**: Endpoint ersatzlos gelöscht. Manuelles Setzen geht
weiterhin über `prisma/add-developer-permission.ts` (CLI).
Live-verifiziert: `POST /api/developer/setup` → HTTP 404.
- **HOCH Customer-Login DoS auf Prod (fehlende Migration)**:
`portalPasswordMustChange` war im Code, aber prod-DB kannte die
Spalte nicht → Prisma warf bei jedem Kunden-Login. Root Cause:
in dieser Session wurde `prisma db push` benutzt (kein Migration-
File). **Fix**: handgenerierte Migration
`20260516173552_portal_password_must_change/migration.sql` (via
`prisma migrate diff` + `migrate resolve --applied`). Verifiziert
durch shadow-DB-Reset + `migrate deploy`: Spalte landet korrekt
in einer frischen DB. `entrypoint.sh` führt `migrate deploy`
beim Container-Start bereits aus → Prod-Restart applied jetzt
automatisch.
- **MITTEL Prisma-Internals-Leak im Login-Error-Body**: Bei
unerwarteten Fehlern (Schema-Bruch, DB-Down) wurde
`error.message` direkt zurückgegeben → Tabellen-/Spaltennamen
leakten. **Fix**: Whitelist-Filter `safeLoginError()` in
`auth.controller.ts`: nur bekannte Messages
(`'Ungültige Anmeldedaten'`, `'E-Mail und Passwort
erforderlich'`) werden durchgereicht, alles andere wird zu
generischem `'Anmeldung fehlgeschlagen'` und das Original
landet im Server-Log. Greift für Mitarbeiter- UND Portal-
Login. Live-verifiziert: Spalte testweise gedropped → Client
sieht generisch, Server-Log enthält Original.
- [x] **🔐 Einmalpasswort-Flow für Portal-Credentials**
- **Intention**: Wenn wir Zugangsdaten per E-Mail an den Kunden
schicken, kennen wir das Passwort als Admin das ist solange OK,