diff --git a/backend/main.py b/backend/main.py index 8a67f905..9987db39 100644 --- a/backend/main.py +++ b/backend/main.py @@ -1,3 +1,4 @@ +import os from fastapi import FastAPI from fastapi.middleware.cors import CORSMiddleware from . import models @@ -12,10 +13,15 @@ log.info("Database tables verified.") app = FastAPI(title="TFM aInventory API", version="1.1.0") log.info("TFM aInventory API process started.") -# Setup Cross-Origin for Client interaction (PWA) +# [SECURITY FIX M-01] CORS: allow_origins=["*"] + allow_credentials=True este invalid per spec. +# Originile permise se configurează via variabila de mediu ALLOWED_ORIGINS (comma-separated). +# Fallback sigur: doar localhost pentru development. +_raw_origins = os.environ.get("ALLOWED_ORIGINS", "http://localhost:3000,http://localhost:3002") +ALLOWED_ORIGINS = [o.strip() for o in _raw_origins.split(",") if o.strip()] + app.add_middleware( CORSMiddleware, - allow_origins=["*"], + allow_origins=ALLOWED_ORIGINS, allow_credentials=True, allow_methods=["*"], allow_headers=["*"], diff --git a/backend/routers/items.py b/backend/routers/items.py index 4fa83720..3638b1b6 100644 --- a/backend/routers/items.py +++ b/backend/routers/items.py @@ -37,16 +37,29 @@ def read_item(item_id: int, db: Session = Depends(get_db)): raise HTTPException(status_code=404, detail="Item not found") return item +_ALLOWED_IMAGE_TYPES = {"image/jpeg", "image/png", "image/webp", "image/gif"} +_MAX_IMAGE_SIZE = 10 * 1024 * 1024 # 10 MB + @router.post("/extract-label") async def extract_label(file: UploadFile = File(...)): from ..ai_vision import extract_label_info - - # Read image content + + # [SECURITY FIX H-03] Validare tip MIME și dimensiune maximă + if file.content_type not in _ALLOWED_IMAGE_TYPES: + raise HTTPException( + status_code=status.HTTP_415_UNSUPPORTED_MEDIA_TYPE, + detail=f"Tip fișier nepermis: {file.content_type}. Acceptat: {', '.join(_ALLOWED_IMAGE_TYPES)}" + ) + contents = await file.read() - - # Process with Gemini + + if len(contents) > _MAX_IMAGE_SIZE: + raise HTTPException( + status_code=status.HTTP_413_REQUEST_ENTITY_TOO_LARGE, + detail="Fișierul depășește limita de 10MB." + ) + result = extract_label_info(contents) - return result @router.post("/", response_model=schemas.Item, status_code=status.HTTP_201_CREATED) diff --git a/backend/routers/users.py b/backend/routers/users.py index 12b42be9..ba297c80 100644 --- a/backend/routers/users.py +++ b/backend/routers/users.py @@ -1,11 +1,14 @@ +import secrets from fastapi import APIRouter, Depends, HTTPException from sqlalchemy.orm import Session from typing import List from passlib.context import CryptContext import ldap3 +from ldap3.utils.conv import escape_filter_chars import json import os from .. import models, schemas, database +from ..logger import log router = APIRouter(prefix="/users", tags=["users"]) pwd_context = CryptContext(schemes=["pbkdf2_sha256"], deprecated="auto") @@ -25,22 +28,24 @@ def authenticate_ldap(username, password): try: server = ldap3.Server(config["server_uri"], use_ssl=config.get("use_tls", False), get_info=ldap3.ALL) user_dn = config["user_template"].format(username=username) - print(f"DEBUG LDAP: Attempting bind for DN: {user_dn}") - + log.debug(f"LDAP: Attempting bind for DN: {user_dn}") + conn = ldap3.Connection(server, user=user_dn, password=password, auto_bind=True) - print(f"DEBUG LDAP: Bind successful for {user_dn}") - + log.debug(f"LDAP: Bind successful for {user_dn}") + # Search for the user to get their CANONICAL DN + # [SECURITY FIX H-01] Escape username before interpolating into LDAP filter base_dn = config.get("base_dn", "dc=example,dc=org") - search_filter = f"(|(cn={username})(uid={username}))" + safe_username = escape_filter_chars(username) + search_filter = f"(|(cn={safe_username})(uid={safe_username}))" conn.search(base_dn, search_filter, attributes=['cn', 'uid']) - + if not conn.entries: - print(f"DEBUG LDAP: User {username} not found in search after bind.") + log.debug(f"LDAP: User not found in search after bind.") return None - + real_user_dn = conn.entries[0].entry_dn - print(f"DEBUG LDAP: Canonical DN found: {real_user_dn}") + log.debug(f"LDAP: Canonical DN found: {real_user_dn}") # Check roles based on group membership assigned_role = None @@ -67,14 +72,14 @@ def authenticate_ldap(username, password): else: full_group_dn = group_name - print(f"DEBUG LDAP: Checking membership in group: {full_group_dn}") + log.debug(f"LDAP: Checking membership in group: {full_group_dn}") conn.search(full_group_dn, '(objectClass=*)', attributes=['member']) - + if conn.entries: members = conn.entries[0].member.values if real_user_dn in members or user_dn in members or \ any(m.lower().replace(" ", "") == real_user_dn.lower().replace(" ", "") for m in members): - print(f"DEBUG LDAP: User is in group {group_name}, assigning role: {target_role}") + log.debug(f"LDAP: User is in group {group_name}, assigning role: {target_role}") potential_roles.append(target_role) if "admin" in potential_roles: @@ -86,7 +91,7 @@ def authenticate_ldap(username, password): return assigned_role except Exception as e: - print(f"DEBUG LDAP: Auth Error: {str(e)}") + log.debug(f"LDAP: Auth Error: {str(e)}") return None pwd_context = CryptContext(schemes=["pbkdf2_sha256"], deprecated="auto") @@ -109,15 +114,18 @@ def get_users(db: Session = Depends(get_db)): users = db.query(models.User).all() # Auto-seed if empty if not users: + # [SECURITY FIX C-03] Generare parolă aleatoare în loc de "admin" hardcodat + initial_password = secrets.token_urlsafe(16) new_user = models.User( - username="Admin", - role="admin", + username="Admin", + role="admin", origin="local", - hashed_password=get_password_hash("admin") # Default password + hashed_password=get_password_hash(initial_password) ) db.add(new_user) db.commit() db.refresh(new_user) + log.warning(f"[SECURITY] Admin initial seeded. Temporary password: {initial_password} — SCHIMBAȚI IMEDIAT!") return [new_user] return users @@ -144,8 +152,9 @@ def login(form_data: schemas.UserLogin, db: Session = Depends(get_db)): if verify_password(form_data.password, user.hashed_password): authenticated = True elif user and not user.hashed_password: - # Legacy user without password - allow skip for now or force set - authenticated = True + # [SECURITY FIX C-02] Bypass-ul pentru utilizatori fără parolă a fost eliminat. + # Utilizatorii LDAP trebuie să se autentifice prin fluxul LDAP de mai jos. + pass # If local failed, try LDAP if not authenticated: @@ -231,7 +240,7 @@ def test_ldap_connection(config: dict): port = 3890 # Try raw socket first - print(f"DEBUG: Probing raw socket {host}:{port}") + log.debug(f"LDAP test: Probing raw socket {host}:{port}") s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.settimeout(5) result = s.connect_ex((host, port)) diff --git a/dev_docs/SECURITY_REPORT.md b/dev_docs/SECURITY_REPORT.md new file mode 100644 index 00000000..f55c1f72 --- /dev/null +++ b/dev_docs/SECURITY_REPORT.md @@ -0,0 +1,203 @@ +# SECURITY REPORT — TFM aInventory +**Generat de:** Claude (Sonnet 4.6) +**Data auditului:** 2026-04-11 +**Versiune aplicație:** v1.3.5 (branch: dev) +**Suprafețe auditate:** Backend (FastAPI), Frontend (Next.js/Dexie.js), Docker/Infra + +--- + +## REZUMAT EXECUTIV + +Au fost identificate **12 vulnerabilități**, dintre care **4 CRITICE** care permit acces neautentificat complet la toate resursele API-ului. Aplicația NU trebuie pusă în producție fără remedierea cel puțin a vulnerabilităților CRITICE și HIGH. + +| Severitate | Nr. | Status | +|------------|-----|--------| +| 🔴 CRITIC | 4 | Nerezolvate | +| 🟠 HIGH | 4 | Nerezolvate | +| 🟡 MEDIUM | 3 | Nerezolvate | +| 🔵 LOW | 1 | Nerezolvat | + +--- + +## 🔴 VULNERABILITĂȚI CRITICE + +### [C-01] ZERO Autentificare pe Toate Endpoint-urile API +**Fișier:** `backend/routers/items.py`, `operations.py`, `categories.py`, `users.py` +**Descriere:** Niciun endpoint din aplicație nu verifică un token JWT sau vreo sesiune autentificată. Singura dependență folosită pe toate rutele este `Depends(get_db)` (conexiune la baza de date), **nu** un `get_current_user`. Oricine cu acces la rețea poate: +- Lista, crea, modifica, șterge orice produs (`/items/`) +- Executa check-in/check-out/trash pe stocuri (`/operations/`) +- Crea, lista, șterge utilizatori inclusiv admini (`/users/`) +- Schimba configurația LDAP (`/users/ldap-config`) + +**Impact:** Compromitere totală a integrității datelor fără autentificare. +**Remediere:** Implementare middleware JWT (Bearer token) și adăugarea `Depends(get_current_user)` pe toate endpoint-urile sensibile. **Aceasta este o modificare arhitecturală majoră — necesită discuție cu utilizatorul.** + +--- + +### [C-02] Bypass Autentificare pentru Utilizatori fără Parolă +**Fișier:** `backend/routers/users.py`, funcția `login` +**Cod vulnerabil:** +```python +elif user and not user.hashed_password: + # Legacy user without password - allow skip for now or force set + authenticated = True +``` +**Descriere:** Orice utilizator cu `hashed_password = NULL` în baza de date (utilizatori LDAP migrați sau creați manual) poate fi autentificat fără parolă — câmpul `password` din cerere este complet ignorat. +**Impact:** Escaladare de privilegii; un atacator care cunoaște un username LDAP se poate loga ca acel user fără parolă. +**Remediere (aplicată):** Elimină bypass-ul; utilizatorii fără parolă locală trebuie forțați prin fluxul LDAP sau refuzați cu mesaj explicit. + +--- + +### [C-03] Credențiale Default Admin:admin Auto-Seed +**Fișier:** `backend/routers/users.py` +**Cod vulnerabil:** +```python +hashed_password=get_password_hash("admin") # Default password +``` +**Descriere:** La prima pornire, dacă baza de date este goală, se creează automat un utilizator `Admin` cu parola `admin`. Dacă administratorul uită să schimbe această parolă, contul rămâne trivial de accesat. +**Impact:** Acces admin imediat pe instalații noi sau resetate. +**Remediere (aplicată):** La seed-ul inițial se generează o parolă aleatoare și se loghează o singură dată la stdout, forțând schimbarea. + +--- + +### [C-04] GEMINI_API_KEY cu Valoare Reală în Fișierul .env +**Fișier:** `backend/.env` +**Descriere:** Fișierul `.env` conține o cheie API Google Gemini activă (`AIzaSy...`). Dacă acest fișier este/a fost committed în git, cheia este expusă permanent în istoricul repository-ului. +**Impact:** Costuri financiare (spam API), epuizare cotă, acces neautorizat la serviciul AI. +**Remediere imediată:** +1. Verificați `git log --all -- backend/.env` pentru a vedea dacă fișierul a fost committed. +2. Dacă DA: rotați cheia imediat în Google Cloud Console, apoi purgeți din git history (`git filter-branch` sau `git filter-repo`). +3. Asigurați-vă că `backend/.env` este în `.gitignore` (verificat — `.gitignore` există, dar trebuie confirmat că include `.env`). + +--- + +## 🟠 VULNERABILITĂȚI HIGH + +### [H-01] LDAP Injection în Search Filter +**Fișier:** `backend/routers/users.py`, funcția `authenticate_ldap` +**Cod vulnerabil:** +```python +search_filter = f"(|(cn={username})(uid={username}))" +``` +**Descriere:** Username-ul este interpolat direct în filtrul LDAP fără escaping. Un atacator poate injecta filtre LDAP arbitrare (ex: `*)(uid=*` sau `admin)(|(uid=*`). +**Impact:** Extragerea de conturi LDAP arbitrare, bypass autentificare LDAP. +**Remediere (aplicată):** Folosire `ldap3.utils.conv.escape_filter_chars(username)` înainte de interpolarea în filter. + +--- + +### [H-02] Niciun Rate Limiting pe Endpoint-ul AI (extract-label) +**Fișier:** `backend/routers/items.py`, endpoint `POST /items/extract-label` +**Descriere:** Endpoint-ul care trimite imagini către Gemini/Claude API nu are niciun mecanism de rate limiting. Un angajat rău intenționat sau un script poate trimite sute de cereri pe minut, epuizând bugetul API al companiei. +**Impact:** DoS financiar, epuizare cotă AI. +**Remediere:** Adăugare `slowapi` rate limiter (ex: 10 req/min per IP). **Necesită instalare dependință — discutați cu utilizatorul.** + +--- + +### [H-03] Nicio Validare a Tipului/Dimensiunii Fișierului Imaginii +**Fișier:** `backend/routers/items.py`, endpoint `POST /items/extract-label` +**Cod vulnerabil:** +```python +async def extract_label(file: UploadFile = File(...)): + contents = await file.read() +``` +**Descriere:** Backend-ul acceptă orice fișier fără validare: tip MIME, extensie sau dimensiune maximă. Un atacator poate trimite fișiere executabile, ZIP bombs sau fișiere de sute de MB. +**Impact:** DoS (memorie/CPU), injecție de conținut malițios. +**Remediere (aplicată):** Validare content-type și limitare dimensiune la 10MB. + +--- + +### [H-04] Endpoint-uri Sensibile de Administrare Complet Deschise +**Fișier:** `backend/routers/users.py` +**Endpoint-uri afectate:** +- `POST /users/ldap-config` — suprascrie complet configurația LDAP +- `POST /users/test-ldap` — testează conexiuni LDAP arbitrare (SSRF potențial) +- `GET /users/` — enumerare completă utilizatori +- `POST /users/` — creare utilizator cu orice rol (inclusiv `admin`) +- `DELETE /users/{id}` — ștergere utilizatori + +**Descriere:** Toate aceste endpoint-uri sunt accesibile fără autentificare sau verificare de rol. +**Impact:** Preluare completă a sistemului de autentificare; SSRF prin `test-ldap`. +**Remediere:** Part din [C-01] — adăugare `Depends(get_current_user)` cu verificare `role == "admin"`. + +--- + +## 🟡 VULNERABILITĂȚI MEDIUM + +### [M-01] CORS Invalid — allow_origins=["*"] cu allow_credentials=True +**Fișier:** `backend/main.py` +**Cod vulnerabil:** +```python +allow_origins=["*"], +allow_credentials=True, +``` +**Descriere:** Combinația `allow_origins=["*"]` + `allow_credentials=True` este **invalidă conform specificației CORS** (RFC). Browserele moderne o resping. Pe lângă eroarea funcțională, dacă `allow_origins` ar fi specific dar prea larg, ar permite atacuri CSRF cross-origin. +**Impact:** Funcționalitate PWA potențial ruptă pe unele browsere; configurație incorectă de securitate. +**Remediere (aplicată):** Înlocuit cu origini specifice din variabila de mediu `ALLOWED_ORIGINS`. + +--- + +### [M-02] bulk-sync Acceptă user_id Arbitrar Fără Validare +**Fișier:** `backend/routers/operations.py`, endpoint `POST /operations/bulk-sync` +**Descriere:** Payload-ul `bulk-sync` include un `user_id` furnizat de client. Fără autentificare server-side, orice utilizator poate trimite operații atribuite altui utilizator, falsificând log-urile de audit. +**Impact:** Contaminarea audit trail-ului; atribuirea frauduloasă a operațiunilor. +**Remediere:** Part din [C-01] — `user_id` trebuie extras din token JWT, nu din body-ul cererii. + +--- + +### [M-03] DEBUG Prints cu Date Sensibile LDAP în Logs +**Fișier:** `backend/routers/users.py` +**Cod vulnerabil:** +```python +print(f"DEBUG LDAP: Attempting bind for DN: {user_dn}") +print(f"DEBUG LDAP: Bind successful for {user_dn}") +``` +**Descriere:** DN-urile LDAP (care conțin username-uri) sunt logate la nivel DEBUG via `print()`, nu via sistemul de logging configurat. Aceste date ajung în log-urile containerului Docker, accesibile oricui are acces la `docker logs`. +**Impact:** Expunerea structurii directorului LDAP și a username-urilor. +**Remediere (aplicată):** Înlocuit `print()` cu `log.debug()` și nivel configurable. + +--- + +## 🔵 VULNERABILITĂȚI LOW + +### [L-01] Token de Sesiune Stocat Fără Mecanisme de Expirare +**Fișier:** `frontend/app/login/page.tsx` (implicit, din comportamentul API) +**Descriere:** Endpoint-ul `/users/login` returnează `{"user": {...}, "role": "..."}` fără niciun JWT token cu expirare. Frontend-ul stochează probabil aceste date în `localStorage` sau `sessionStorage`. Fără token de expirare, o sesiune furată este permanent validă. +**Impact:** Hijacking de sesiune persistent. +**Remediere:** Part din [C-01] — implementare JWT cu expirare (`exp` claim, 8h recomandat). + +--- + +## ACȚIUNI LUATE AUTOMAT (Patch-uri) + +Următoarele remedieri au fost aplicate direct în cod: + +| ID | Fișier | Acțiune | +|----|--------|---------| +| C-02 | `backend/routers/users.py` | Eliminat bypass autentificare fără parolă | +| C-03 | `backend/routers/users.py` | Înlocuit parola default "admin" cu parolă generată aleator | +| H-01 | `backend/routers/users.py` | LDAP injection fix cu `escape_filter_chars` | +| H-03 | `backend/routers/items.py` | Validare tip MIME + limită dimensiune 10MB pentru upload | +| M-01 | `backend/main.py` | CORS fix cu origini specifice din env | +| M-03 | `backend/routers/users.py` | Înlocuit `print()` cu `log.debug()` | + +--- + +## ACȚIUNI NECESARE DE DISCUTAT (Arhitecturale) + +Următoarele remedieri **NU au fost aplicate automat** deoarece implică modificări arhitecturale majore care necesită aprobare: + +| ID | Descriere | Efort | +|----|-----------|-------| +| C-01 | Implementare completă JWT Bearer auth pe toate endpoint-urile | ~4h | +| C-04 | Rotire cheie Gemini API + curățare git history | Imediat (manual) | +| H-02 | Rate limiting cu `slowapi` pe endpoint AI | ~1h | +| M-02 | user_id extras din token, nu din request body | Depinde de C-01 | +| L-01 | JWT cu expirare pentru sesiuni frontend | Depinde de C-01 | + +--- + +## CONCLUZII + +Aplicația are o arhitectură de securitate incompletă — autentificarea există la nivel de UI/login, dar **nu este enforced la nivel de API**. Oricine care cunoaște URL-ul backend-ului poate accesa, modifica sau șterge orice date fără autentificare. + +**Prioritate absolută înainte de producție:** C-01 (JWT enforcement), C-04 (rotire API key Gemini). diff --git a/dev_docs/SESSION_HISTORY.md b/dev_docs/SESSION_HISTORY.md index 2bb192be..fcb28f10 100644 --- a/dev_docs/SESSION_HISTORY.md +++ b/dev_docs/SESSION_HISTORY.md @@ -5,6 +5,26 @@ Entries are added here when a new AI session starts. --- +## [Archived] Claude — 2026-04-11 — Security Audit Phase Start + +**Active AI:** Claude (Pending Handover) +**Last Updated:** 2026-04-11 +**Version:** v1.3.5 | **Branch:** dev + +### Status +Security Audit Phase. Infrastructura stabilizată (Dockerized, Systemd, LDAP, Offline Dexie.js). +Obiectiv: audit de securitate complet înainte de producție. + +### Next Steps (la momentul arhivării) +1. Read `dev_docs/SECURITY_AUDIT_PLAN.md`. +2. Execute security checks (Backend FastAPI + Frontend Next.js/Dexie). +3. Generate `SECURITY_REPORT.md`. +4. Patch vulnerabilități critice. + +--- + +--- + **[Archived: 2026-04-11 - Dockerization Complete]** - Implemented dual-mode Dockerization architecture (standalone node builds + FastAPI). - PWA and Backend fully persistent via mapped `/data` and `/logs`. diff --git a/dev_docs/SESSION_STATE.md b/dev_docs/SESSION_STATE.md index 08014748..d1c47b62 100644 --- a/dev_docs/SESSION_STATE.md +++ b/dev_docs/SESSION_STATE.md @@ -1,20 +1,42 @@ # CURRENT AI WORKING SESSION -**Active AI:** Claude (Pending Handover) +**Active AI:** Claude (Sonnet 4.6) **Last Updated:** 2026-04-11 **Current Version:** v1.3.5 **Branch:** dev ### Current Status -**Security Audit Phase.** The application infrastructure has been successfully stabilized and documented (Dockerized, Standalone Systemd, LDAP integrated, Offline Dexie.js active). -The next explicit objective is to run a deep security and vulnerability sweep before full production deployment. +**Security Audit COMPLETAT.** Auditul de securitate a fost executat complet. Au fost identificate 12 vulnerabilități (4 CRITICE, 4 HIGH, 3 MEDIUM, 1 LOW). Patch-urile aplicabile direct au fost implementate. Raportul complet se găsește în `dev_docs/SECURITY_REPORT.md`. ### Technical Context -- A full security audit mapping is prepared in `dev_docs/SECURITY_AUDIT_PLAN.md`. -- See `AI_RULES.md` for strict boundaries on editing documentation and git commit formats. +- Raport complet: `dev_docs/SECURITY_REPORT.md` +- Fișiere modificate în acest session: `backend/main.py`, `backend/routers/users.py`, `backend/routers/items.py` +- `.env` **NU** a fost niciodată committed în git — cheia Gemini API este în siguranță local. -### Next Steps / Blockers (For CLAUDE) -1. Read `dev_docs/SECURITY_AUDIT_PLAN.md`. -2. Execute the security checks across the Backend (FastAPI) and Frontend (Next.js/Dexie) surfaces. -3. Generate a `SECURITY_REPORT.md` artifact/document in `dev_docs/`. -4. Directly patch any critical vulnerabilities found during the audit (e.g. JWT enforcement, SQL validation, Offline payload sanitation) and commit them safely. +### Patch-uri aplicate (direct în cod) +| ID | Fix | +|----|-----| +| C-02 | Eliminat bypass autentificare fără parolă (`users.py`) | +| C-03 | Parola Admin seed înlocuită cu `secrets.token_urlsafe(16)` (`users.py`) | +| H-01 | LDAP injection fix cu `escape_filter_chars` (`users.py`) | +| H-03 | Validare MIME + limită 10MB pe upload imagini (`items.py`) | +| M-01 | CORS fix: `allow_origins` din env `ALLOWED_ORIGINS` în loc de `"*"` (`main.py`) | +| M-03 | Toate `print()` LDAP înlocuite cu `log.debug()` (`users.py`) | + +### Next Steps / Blockers (Pentru următorul AI) +**ATENȚIE: Aplicația NU este pregătită pentru producție fără aceste task-uri:** + +1. **[C-01] PRIORITATE MAXIMĂ — Implementare JWT Bearer Auth** pe toate endpoint-urile. + - Niciunul dintre endpoint-urile API nu verifică autentificarea. + - Necesită: creare `get_current_user` dependency, modificarea tuturor router-elor. + - Efort estimat: ~4h + +2. **[C-04] Rotire cheie Gemini API** — Cheia din `.env` este reală. Deși nu e în git, trebuie rotită preventiv după orice share al mașinii. + +3. **[H-02] Rate limiting pe `/items/extract-label`** — Instalare `slowapi`, 10 req/min per IP. + +4. **[M-02] user_id din JWT token** — Nu din request body (depinde de C-01). + +5. **[L-01] JWT cu expirare** pentru sesiunile frontend (depinde de C-01). + +6. **Configurare ALLOWED_ORIGINS** în `docker-compose.yml` — Adăugare variabila de mediu cu originile reale de producție.