ferdi2go/OnlyFrames
1
0
Fork 0
Code Issues 4 Pull Requests Actions Packages Projects Releases Wiki Activity

[Security] IDOR: Job- und ZIP-IDs nicht an Session gebunden #14

New Issue
Closed
opened 2026-05-27 12:21:05 +02:00 by ferdi2go · 1 comment
ferdi2go commented 2026-05-27 12:21:05 +02:00
Owner
Copy Link
Copy Source

Problem

server.py:294-311, server.py:466-476, server.py:478-497

Job-Status- und Download-Endpoints pruefen nur die Existenz der ID, nicht den Besitzer:

@app.get("/export/download/{zip_id}")
def export_download(zip_id: str):
    zip_path = _zip_store.get(zip_id)

Jeder authentifizierte Nutzer (mit APP_PASSWORD="" sogar jeder) kann beliebige UUIDs abrufen.

Fix

Beim Anlegen Owner-Token speichern und im Status/Download vergleichen:

_jobs[job_id] = {"status": "running", "owner": token, ...}
_zip_store[zip_id] = {"path": ..., "owner": token}
## Problem `server.py:294-311`, `server.py:466-476`, `server.py:478-497` Job-Status- und Download-Endpoints pruefen nur die Existenz der ID, nicht den Besitzer: ```python @app.get("/export/download/{zip_id}") def export_download(zip_id: str): zip_path = _zip_store.get(zip_id) ``` Jeder authentifizierte Nutzer (mit `APP_PASSWORD=""` sogar jeder) kann beliebige UUIDs abrufen. ## Fix Beim Anlegen Owner-Token speichern und im Status/Download vergleichen: ```python _jobs[job_id] = {"status": "running", "owner": token, ...} _zip_store[zip_id] = {"path": ..., "owner": token} ```
ferdi2go added the securitypriority: high labels 2026-05-27 12:21:05 +02:00
ferdi2go commented 2026-05-27 12:30:09 +02:00
Author
Owner
Copy Link
Copy Source

Fix umgesetzt in server.py:

  • Helper _request_token(request) extrahiert Bearer-Token (oder noauth bei deaktiviertem APP_PASSWORD)
  • _check_owner(owner, request) -> 403 bei Mismatch
  • /analyze, /export speichern owner im Job-Dict
  • /analyze/status, /export/status, /export/download pruefen Owner
  • _zip_store jetzt {zip_id: {path, owner}} statt nackter Pfad

Manueller Test mit zwei verschiedenen Tokens: 403 fuer fremden Job, 200 fuer eigenen.

Fix umgesetzt in `server.py`: - Helper `_request_token(request)` extrahiert Bearer-Token (oder `noauth` bei deaktiviertem APP_PASSWORD) - `_check_owner(owner, request)` -> 403 bei Mismatch - `/analyze`, `/export` speichern `owner` im Job-Dict - `/analyze/status`, `/export/status`, `/export/download` pruefen Owner - `_zip_store` jetzt `{zip_id: {path, owner}}` statt nackter Pfad Manueller Test mit zwei verschiedenen Tokens: 403 fuer fremden Job, 200 fuer eigenen.
Sign in to join this conversation.
No Branch/Tag Specified
Branches Tags
Labels
Clear labels
bug
maintenance
priority: high
priority: low
priority: medium
security
ux
No Label priority: high security
Milestone
No items
No Milestone
Projects
Clear projects
No project
Assignees
Clear assignees
ferdi2go
No Assignees
1 Participants
Notifications
Due Date
No due date set.
Dependencies

No dependencies set.

Reference: ferdi2go/OnlyFrames#14
Delete Branch "%!s()"

Deleting a branch is permanent. Although the deleted branch may continue to exist for a short time before it actually gets removed, it CANNOT be undone in most cases. Continue?