Security-Hardening Runde 7: Pentest Runde 3 (3 Findings)
KRITISCH – Privilege Escalation: POST /api/developer/setup war ohne Auth erreichbar und konnte developer:access der Admin-Rolle hinzufügen → volle DB-Kontrolle via /developer/*-Routen. Endpoint ersatzlos entfernt; manuelles Setzen geht über prisma/add-developer-permission.ts (CLI). HOCH – Fehlende Migration auf Prod: portalPasswordMustChange war im Code, aber prod-DB hatte die Spalte nicht → jeder Kunden-Login warf Prisma-Schema-Error → DoS. Root Cause: db push statt migrate dev während Entwicklung → kein Migration-File im Repo. Fix: handgenerierte Migration 20260516173552_portal_password_must_change/migration.sql, lokal mit migrate resolve --applied registriert, durch shadow-DB-Reset verifiziert. entrypoint.sh führt migrate deploy bereits aus. MITTEL – Prisma-Internals-Leak im Login-Error: error.message wurde 1:1 an den Client gegeben → bei DB-Schema- Fehlern leakten Tabellen- und Spaltennamen. Whitelist-Filter safeLoginError() in auth.controller.ts: nur 'Ungültige Anmeldedaten' und 'E-Mail und Passwort erforderlich' werden durchgereicht, alles andere wird zu generischem 'Anmeldung fehlgeschlagen' maskiert. Original landet im Server-Log. Live-verifiziert: - POST /api/developer/setup → HTTP 404 - Falsches Customer-PW → 'Ungültige Anmeldedaten' (keine Internals) - Spalte testweise gedropped → 'Anmeldung fehlgeschlagen' (generisch), Original-Message nur im Server-Log - Shadow-DB-Reset + migrate deploy → Spalte korrekt erzeugt Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>
This commit is contained in:
@@ -27,6 +27,26 @@ function clearRefreshCookie(res: Response): void {
|
||||
res.clearCookie(REFRESH_COOKIE_NAME, { path: '/api/auth' });
|
||||
}
|
||||
|
||||
// Whitelist von Fehlermeldungen, die wir an Login-Clients durchreichen dürfen.
|
||||
// ALLES andere (Prisma-Internals, DB-Connection-Errors, Schema-Fehler, ...)
|
||||
// wird als generisches "Anmeldung fehlgeschlagen" maskiert – die Original-
|
||||
// Message bleibt im Server-Log, leakt aber nicht im HTTP-Response. Pentest
|
||||
// Runde 3 (2026-05-16): `prisma.customer.findUnique() invocation: The column
|
||||
// X does not exist` war im Body sichtbar → Tabellen-/Spaltennamen geleakt.
|
||||
const SAFE_LOGIN_ERRORS = new Set([
|
||||
'Ungültige Anmeldedaten',
|
||||
'E-Mail und Passwort erforderlich',
|
||||
]);
|
||||
function safeLoginError(err: unknown): string {
|
||||
if (err instanceof Error && SAFE_LOGIN_ERRORS.has(err.message)) {
|
||||
return err.message;
|
||||
}
|
||||
if (err instanceof Error) {
|
||||
console.error('[Login] Unerwarteter Fehler (maskiert):', err.message);
|
||||
}
|
||||
return 'Anmeldung fehlgeschlagen';
|
||||
}
|
||||
|
||||
// Mitarbeiter-Login
|
||||
export async function login(req: Request, res: Response): Promise<void> {
|
||||
const { email, password } = req.body || {};
|
||||
@@ -68,7 +88,7 @@ export async function login(req: Request, res: Response): Promise<void> {
|
||||
});
|
||||
res.status(401).json({
|
||||
success: false,
|
||||
error: error instanceof Error ? error.message : 'Anmeldung fehlgeschlagen',
|
||||
error: safeLoginError(error),
|
||||
} as ApiResponse);
|
||||
}
|
||||
}
|
||||
@@ -112,7 +132,7 @@ export async function customerLogin(req: Request, res: Response): Promise<void>
|
||||
});
|
||||
res.status(401).json({
|
||||
success: false,
|
||||
error: error instanceof Error ? error.message : 'Anmeldung fehlgeschlagen',
|
||||
error: safeLoginError(error),
|
||||
} as ApiResponse);
|
||||
}
|
||||
}
|
||||
|
||||
Reference in New Issue
Block a user