duffyduck f02824fe7d Pentest R89: Provider-Adressfelder härten ...

R89.1 MEDIUM + R89.2 LOW: sanitizeNotes(…, 500) macht silent
slice(0, 500) statt 400, und stripHtml lief vor dem Length-
Check – `<script>…</script>` reduzierte auf "" → null in DB
→ vorheriger Wert silent überschrieben (R87.1-Pattern auf
Adress-Feldern).

Fix: validateProviderAddress() in sanitize.ts – Raw-Input,
max 500 mit ApiError(400), Blacklist <, >, Tab + alle
Control-Chars außer \n. CRLF → LF VOR dem Length-Check, damit
Editoren mit \r\n-Line-Endings nicht doppelt zählen. Eingehängt
in stripProviderStrings für contactAddress/cancellationAddress.

R89.3/R89.4 (Quotes/\n) bewusst akzeptiert – Pentester selbst
sagt "kein Risiko", sind in Adressen legitim.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-21 13:35:56 +02:00

..

factory-defaults

factory-defaults: HTML-Templates + Import über UI

2026-05-07 19:26:33 +02:00

prisma

Anbieter: Kontakt + Kündigung als Stammdaten

2026-06-21 13:10:59 +02:00

scripts

factory-defaults: builtin-Werkseinstellungen beim Auto-Seed einspielen

2026-05-07 19:41:16 +02:00

src

Pentest R89: Provider-Adressfelder härten

2026-06-21 13:35:56 +02:00

uploads

save email as pdf like an attachment

2026-02-04 19:18:32 +01:00

.env.example

Security-Hardening Runde 17: JWT-TTL + Pentest-Marker-Detection

2026-05-18 20:06:03 +02:00

.gitignore

chore: backend/.env aus Git entfernt + .gitignore klargestellt

2026-05-01 18:35:00 +02:00

docker-entrypoint.sh

Pentest 55.2 + 55.3 HIGH + 55.4 + 53.3: Notes/Document-Auth/Race/Generate

2026-06-01 20:45:39 +02:00

Dockerfile

fix: src/ ins Runtime-Image, damit prisma/*.ts-Wartungsskripte laufen

2026-05-18 15:53:52 +02:00

package-lock.json

security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA

2026-05-16 16:06:17 +02:00

package.json

security: JWT raus aus localStorage – Refresh-Cookie-Pattern für SPA

2026-05-16 16:06:17 +02:00

tsconfig.json

first commit

2026-01-29 01:16:54 +01:00