opencrm

Hacker-Software/opencrm

Fork 0

Commit Graph

Author	SHA1	Message	Date
duffyduck	5d21574c81	Pentest 48.3 MEDIUM + 48.4 INFO: Rate-Limit + Token-Invalidierung beim Staff-Passwort-Reset 48.3 (Rate-Limit fehlt): POST /api/users/:id/password verlangt seit 47.3 die Eingabe des eigenen Admin-Passworts. Ohne Throttle könnte ein Angreifer mit gestohlenem JWT die Re-Auth per Brute-Force aushebeln. - Neuer staffPasswordReAuthLimiter (5 Versuche / 10 min, bucket: IP + target-user-id, skipSuccessfulRequests: true) - emit SecurityEvent RATE_LIMIT_HIT severity HIGH - Vor authenticate gemounted, damit auch unauth-Spamming begrenzt wird 48.4 (Alter Token überlebt Self-Reset): Nach erfolgreichem Setzen wird tokenInvalidatedAt des Ziel-Users auf jetzt gesetzt. Greift besonders bei Self-Reset (Admin setzt sich selbst zurück) – ein zuvor gestohlenes Token wird sofort ungültig, statt bis zum natürlichen Ablauf (15 min) brauchbar zu bleiben. Die bestehende Auth-Middleware liest tokenInvalidatedAt bereits. Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-06-01 13:01:44 +02:00
duffyduck	cf8c6c84c2	Security-Hardening Runde 15: Pentest Runde 12 Folge-Fixes M2-Reste – XSS-Strings + Mass-Assignment-Settings noch in DB: Idempotentes Cleanup-Script prisma/cleanup-xss-and-mass-assignment.ts. Strippt HTML aus Customer/User-String-Feldern, entfernt AppSettings ohne Whitelist-Eintrag. Wird im entrypoint.sh nach Migrations + Seed einmalig pro Container-Start ausgeführt. User-Update + password-Feld: password aus USER_UPDATABLE_FIELDS raus (CREATE behält es), neuer dedizierter Endpoint POST /api/users/:id/password mit Audit-Log "Passwort … durch Admin gesetzt" und Komplexitäts-Check. JS-Runtime-Fehler-Leak: ORM_LEAK_PATTERNS um TypeError/ReferenceError/SyntaxError/RangeError + "Cannot read properties of undefined/null" + "is not a function/ defined" erweitert. Greift im globalen res.json()-Wrapper. POST /contracts substring-Crash: Controller validiert type/customerId, sonst 400. generateContractNumber fängt nullish type ab (Fallback "CON"). Seed-Admin-Passwort: Default "admin" verletzte 12-Zeichen-Policy. Jetzt 16-char Zufallspasswort (alle 4 Klassen garantiert via Fisher-Yates) oder per SEED_ADMIN_PASSWORD-ENV überschreibbar. BCRYPT-Cost 12 (war 10). Passwort wird einmalig in stdout ausgegeben mit Warnung. AppSettings-Whitelist: companyName + defaultEmailDomain ergänzt (kamen aus seed.ts, in 1. Whitelist vergessen). Live-verifiziert: - POST /contracts {} → 400 "Vertrags-Typ erforderlich" (vorher TypeError-Stack) - PUT /users/6 {password:"HackerPW2026!"} → 200 aber Login mit altem PW geht weiter - POST /users/6/password mit "kurz" → 400 mit Komplexitäts-Fehlern - Cleanup-Script: planted XSS bereinigt, hackerSetting+debugMode entfernt, idempotenter Re-Lauf Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>	2026-05-18 15:09:13 +02:00
Stefan Hacker	e209e9bbca	first commit	2026-01-29 01:16:54 +01:00

Author

SHA1

Message

Date

duffyduck

5d21574c81

Pentest 48.3 MEDIUM + 48.4 INFO: Rate-Limit + Token-Invalidierung beim Staff-Passwort-Reset

48.3 (Rate-Limit fehlt): POST /api/users/:id/password verlangt seit
47.3 die Eingabe des eigenen Admin-Passworts. Ohne Throttle könnte
ein Angreifer mit gestohlenem JWT die Re-Auth per Brute-Force
aushebeln.
- Neuer staffPasswordReAuthLimiter (5 Versuche / 10 min,
  bucket: IP + target-user-id, skipSuccessfulRequests: true)
- emit SecurityEvent RATE_LIMIT_HIT severity HIGH
- Vor authenticate gemounted, damit auch unauth-Spamming
  begrenzt wird

48.4 (Alter Token überlebt Self-Reset): Nach erfolgreichem Setzen
wird tokenInvalidatedAt des Ziel-Users auf jetzt gesetzt. Greift
besonders bei Self-Reset (Admin setzt sich selbst zurück) – ein
zuvor gestohlenes Token wird sofort ungültig, statt bis zum
natürlichen Ablauf (15 min) brauchbar zu bleiben. Die bestehende
Auth-Middleware liest tokenInvalidatedAt bereits.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-06-01 13:01:44 +02:00

duffyduck

cf8c6c84c2

Security-Hardening Runde 15: Pentest Runde 12 Folge-Fixes

M2-Reste – XSS-Strings + Mass-Assignment-Settings noch in DB:
Idempotentes Cleanup-Script prisma/cleanup-xss-and-mass-assignment.ts.
Strippt HTML aus Customer/User-String-Feldern, entfernt AppSettings
ohne Whitelist-Eintrag. Wird im entrypoint.sh nach Migrations + Seed
einmalig pro Container-Start ausgeführt.

User-Update + password-Feld:
password aus USER_UPDATABLE_FIELDS raus (CREATE behält es), neuer
dedizierter Endpoint POST /api/users/:id/password mit Audit-Log
"Passwort … durch Admin gesetzt" und Komplexitäts-Check.

JS-Runtime-Fehler-Leak:
ORM_LEAK_PATTERNS um TypeError/ReferenceError/SyntaxError/RangeError +
"Cannot read properties of undefined/null" + "is not a function/
defined" erweitert. Greift im globalen res.json()-Wrapper.

POST /contracts substring-Crash:
Controller validiert type/customerId, sonst 400. generateContractNumber
fängt nullish type ab (Fallback "CON").

Seed-Admin-Passwort:
Default "admin" verletzte 12-Zeichen-Policy. Jetzt 16-char
Zufallspasswort (alle 4 Klassen garantiert via Fisher-Yates) oder per
SEED_ADMIN_PASSWORD-ENV überschreibbar. BCRYPT-Cost 12 (war 10).
Passwort wird einmalig in stdout ausgegeben mit Warnung.

AppSettings-Whitelist: companyName + defaultEmailDomain ergänzt
(kamen aus seed.ts, in 1. Whitelist vergessen).

Live-verifiziert:
- POST /contracts {} → 400 "Vertrags-Typ erforderlich" (vorher
  TypeError-Stack)
- PUT /users/6 {password:"HackerPW2026!"} → 200 aber Login mit altem
  PW geht weiter
- POST /users/6/password mit "kurz" → 400 mit Komplexitäts-Fehlern
- Cleanup-Script: planted XSS bereinigt, hackerSetting+debugMode
  entfernt, idempotenter Re-Lauf

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

2026-05-18 15:09:13 +02:00

Stefan Hacker

e209e9bbca

first commit

2026-01-29 01:16:54 +01:00

3 Commits