opencrm

Hacker-Software/opencrm

Fork 0

Commit Graph

Author	SHA1	Message	Date
duffyduck	0bd2f9be7e	fix: "Anzeigen"-Buttons öffnen Datei wieder im Browser-Tab Folge-Symptom des Pen-30.13-Fixes: alle file-downloads liefen mit Content-Disposition: attachment – das ist gegen Stored-XSS richtig, hat aber die "Anzeigen"-Buttons (Bankkarten / Ausweise / Verträge / etc.) kaputtgemacht, weil der Browser jetzt herunterlud statt im Tab zu öffnen. Magic-Byte-basierter Whitelist-Pfad eingebaut: optional ?disposition= inline am Download-Endpoint, ABER nur wenn die ersten Bytes der Datei das Magic eines safe Typs zeigen (PDF, PNG, JPEG, GIF, WebP). Bei Mismatch fällt's auf attachment zurück – Stored-XSS bleibt weiterhin unmöglich, falls jemand HTML als .pdf hochlädt. Frontend: neuer viewUrl(path)-Alias = fileUrl(path, {inline: true}). Alle Stellen mit `<a href={fileUrl(...)} target="_blank">` oder `window.open(fileUrl(...), '_blank')` (13 Stellen über CustomerDetail, ContractDetail, PdfTemplates, GDPRDashboard, InvoicesSection) nutzen jetzt viewUrl. Download-Stellen bleiben fileUrl (= attachment, byte-genaues File-Save). Live-verifiziert auf dev: - ohne Param: attachment (default, Stored-XSS-Schutz) - ?disposition=inline + echte PDF: inline + application/pdf - ?disposition=inline + HTML als .pdf: attachment (Magic-Mismatch → Browser lädt herunter statt zu rendern) Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-30 09:19:04 +02:00
duffyduck	a95aa384a2	Pentest 2026-05-20 Pen-30-Befunde (MEDIUM+INFO) 30.13 MIME-Extension-XSS (MEDIUM): GET /api/files/download lieferte hochgeladene Dateien via res.sendFile() aus. Da multer nur den client-gemeldeten MIME prueft, konnte eine als application/pdf deklarierte .html-Datei auf Disk landen – Express liest beim Senden den Content-Type aus der Extension (text/html), Browser haette gerendert → Stored XSS. Fix: Content-Disposition: attachment + safe filename. Browser laedt jetzt herunter statt zu rendern, egal welcher Content-Type. UX-Cost ist gering (PDF-Preview offnet halt aus dem Download-Ordner). X-Content-Type-Options: nosniff bleibt zusaetzlich gesetzt. 30.14 SSRF Private-IP-Block opt-in (INFO): ssrfGuard erlaubte private IPs (127/10/172.16/192.168) bewusst, weil On-Prem-Setups Plesk/Dovecot/Postfix lokal laufen lassen. Fuer Cloud-Deployments ist das ein SSRF-Vektor. Neuer Env-Flag SSRF_BLOCK_PRIVATE_IPS=true erweitert die Block-Liste um alle privaten Ranges + ::1 + fc00::/7 + IPv4-mapped + localhost/ ip6-localhost. Default off (on-prem-kompatibel). Live-verifiziert auf dev: - Download-Header: Content-Disposition: attachment + safe filename - Default: 127.0.0.1/10.x/192.168.x/localhost durchgelassen, 169.254.169.254 (Cloud-Metadata) weiter geblockt - SSRF_BLOCK_PRIVATE_IPS=true: alle privaten Ranges geblockt, 8.8.8.8 (legitim) durchgelassen Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-20 20:14:59 +02:00
duffyduck	6b804cdc82	Security-Hardening Runde 8: DNS-Rebinding + Per-File-Ownership Loose Ends aus Runde 5/7 abgearbeitet. 🛡 DNS-Rebinding-Schutz in SSRF-Guard - safeResolveHost() löst Hostname zu IPv4+IPv6 auf, prüft jede IP gegen die Block-Liste, gibt {ip, servername} zurück. - Caller (test-connection, test-mail-access) übergibt host=ip plus servername=hostname an die Mail-Services. Damit kann ein zweiter DNS-Lookup zur Connection-Zeit nicht plötzlich auf interne IPs umlenken (rebound-Attack). - ImapCredentials/SmtpCredentials um optionales servername-Feld erweitert; Services nutzen es als TLS-SNI / Cert-Validation-Hint. 🔒 Per-File-Ownership-Check (DSGVO-Härtung) - express.static('/api/uploads') ersetzt durch GET /api/files/download mit Pfad→Resource→Owner-Mapping in fileDownload.service.ts. - 12 subDir-Mappings (bank-cards, documents, contract-documents, invoices, cancellation-, authorizations, business-/commercial-/ privacy-, pdf-templates). - canAccessCustomer / canAccessContract / Permission-Check je nach Owner-Typ. Portal-User sieht jetzt nur eigene Dateien, selbst wenn er fremde Filenames kennt. - Backwards-Compat: /api/uploads/ bleibt als Shim erhalten, ruft intern denselben Owner-Check. - Frontend fileUrl() zeigt auf /api/files/download?path=...&token=... Live-verifiziert: - Eigene Datei: 200, random Pfad: 404, ../etc/passwd: 400, kein Token: 401, Backwards-Compat-Shim: 200. - DNS-Rebinding: nip.io-Hostname mit interner Target-IP wird via DNS-Lookup geblockt; gmail.com (legitim) geht durch. Bewusst nicht gemacht: - Signierte URLs mit kurzlebigen Download-Tokens – v1.2-Item, da invasiv für <a href>-Flows ohne JS. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-01 07:59:19 +02:00

Author

SHA1

Message

Date

duffyduck

0bd2f9be7e

fix: "Anzeigen"-Buttons öffnen Datei wieder im Browser-Tab

Folge-Symptom des Pen-30.13-Fixes: alle file-downloads liefen mit
Content-Disposition: attachment – das ist gegen Stored-XSS richtig,
hat aber die "Anzeigen"-Buttons (Bankkarten / Ausweise /
Verträge / etc.) kaputtgemacht, weil der Browser jetzt
herunterlud statt im Tab zu öffnen.

Magic-Byte-basierter Whitelist-Pfad eingebaut: optional ?disposition=
inline am Download-Endpoint, ABER nur wenn die ersten Bytes der
Datei das Magic eines safe Typs zeigen (PDF, PNG, JPEG, GIF, WebP).
Bei Mismatch fällt's auf attachment zurück – Stored-XSS bleibt
weiterhin unmöglich, falls jemand HTML als .pdf hochlädt.

Frontend: neuer viewUrl(path)-Alias = fileUrl(path, {inline: true}).
Alle Stellen mit `<a href={fileUrl(...)} target="_blank">` oder
`window.open(fileUrl(...), '_blank')` (13 Stellen über CustomerDetail,
ContractDetail, PdfTemplates, GDPRDashboard, InvoicesSection)
nutzen jetzt viewUrl. Download-Stellen bleiben fileUrl
(= attachment, byte-genaues File-Save).

Live-verifiziert auf dev:
- ohne Param: attachment (default, Stored-XSS-Schutz)
- ?disposition=inline + echte PDF: inline + application/pdf
- ?disposition=inline + HTML als .pdf: attachment (Magic-Mismatch
  → Browser lädt herunter statt zu rendern)

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-30 09:19:04 +02:00

duffyduck

a95aa384a2

Pentest 2026-05-20 Pen-30-Befunde (MEDIUM+INFO)

30.13 MIME-Extension-XSS (MEDIUM):
GET /api/files/download lieferte hochgeladene Dateien via
res.sendFile() aus. Da multer nur den client-gemeldeten MIME prueft,
konnte eine als application/pdf deklarierte .html-Datei auf Disk
landen – Express liest beim Senden den Content-Type aus der Extension
(text/html), Browser haette gerendert → Stored XSS.

Fix: Content-Disposition: attachment + safe filename. Browser laedt
jetzt herunter statt zu rendern, egal welcher Content-Type. UX-Cost
ist gering (PDF-Preview offnet halt aus dem Download-Ordner).
X-Content-Type-Options: nosniff bleibt zusaetzlich gesetzt.

30.14 SSRF Private-IP-Block opt-in (INFO):
ssrfGuard erlaubte private IPs (127/10/172.16/192.168) bewusst, weil
On-Prem-Setups Plesk/Dovecot/Postfix lokal laufen lassen. Fuer
Cloud-Deployments ist das ein SSRF-Vektor. Neuer Env-Flag
SSRF_BLOCK_PRIVATE_IPS=true erweitert die Block-Liste um alle
privaten Ranges + ::1 + fc00::/7 + IPv4-mapped + localhost/
ip6-localhost. Default off (on-prem-kompatibel).

Live-verifiziert auf dev:
- Download-Header: Content-Disposition: attachment + safe filename
- Default: 127.0.0.1/10.x/192.168.x/localhost durchgelassen,
  169.254.169.254 (Cloud-Metadata) weiter geblockt
- SSRF_BLOCK_PRIVATE_IPS=true: alle privaten Ranges geblockt,
  8.8.8.8 (legitim) durchgelassen

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-20 20:14:59 +02:00

duffyduck

6b804cdc82

Security-Hardening Runde 8: DNS-Rebinding + Per-File-Ownership

Loose Ends aus Runde 5/7 abgearbeitet.

🛡 DNS-Rebinding-Schutz in SSRF-Guard
- safeResolveHost() löst Hostname zu IPv4+IPv6 auf, prüft jede IP
  gegen die Block-Liste, gibt {ip, servername} zurück.
- Caller (test-connection, test-mail-access) übergibt host=ip plus
  servername=hostname an die Mail-Services. Damit kann ein zweiter
  DNS-Lookup zur Connection-Zeit nicht plötzlich auf interne IPs
  umlenken (rebound-Attack).
- ImapCredentials/SmtpCredentials um optionales servername-Feld
  erweitert; Services nutzen es als TLS-SNI / Cert-Validation-Hint.

🔒 Per-File-Ownership-Check (DSGVO-Härtung)
- express.static('/api/uploads') ersetzt durch GET /api/files/download
  mit Pfad→Resource→Owner-Mapping in fileDownload.service.ts.
- 12 subDir-Mappings (bank-cards, documents, contract-documents,
  invoices, cancellation-*, authorizations, business-/commercial-/
  privacy-, pdf-templates).
- canAccessCustomer / canAccessContract / Permission-Check je nach
  Owner-Typ. Portal-User sieht jetzt nur eigene Dateien, selbst wenn
  er fremde Filenames kennt.
- Backwards-Compat: /api/uploads/* bleibt als Shim erhalten, ruft
  intern denselben Owner-Check.
- Frontend fileUrl() zeigt auf /api/files/download?path=...&token=...

Live-verifiziert:
- Eigene Datei: 200, random Pfad: 404, ../etc/passwd: 400, kein
  Token: 401, Backwards-Compat-Shim: 200.
- DNS-Rebinding: nip.io-Hostname mit interner Target-IP wird via
  DNS-Lookup geblockt; gmail.com (legitim) geht durch.

Bewusst nicht gemacht:
- Signierte URLs mit kurzlebigen Download-Tokens – v1.2-Item, da
  invasiv für <a href>-Flows ohne JS.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-01 07:59:19 +02:00

3 Commits