Emanuel Almeida
36a26dac53
MEDIUM-SEVERITY FIXES (Fase 3 complete): 1. Mock Data em Produção (Vulnerabilidade 3.2) ✅ - Mock data apenas em desenvolvimento (import.meta.env.DEV) - Produção mostra erro claro com retry button - Estado de erro com UI profissional 2. Connection Pool Timeouts (Vulnerabilidade 3.3) ✅ - JÁ CORRIGIDO em commit anterior (20c16ab) - connectTimeout: 10s, acquireTimeout: 15s, timeout: 30s 3. Tipo 'any' em Catch Blocks (Vulnerabilidade 3.4) ✅ - TODOS os ficheiros corrigidos (10/10) - catch (error: unknown) em vez de catch (error) - Type guards: error instanceof Error - Mensagens seguras sem vazamento de stack trace - Ficheiros: routes/*.ts, services/*.ts, middleware/validation.ts 4. APIs Sem Autenticação Backend (Vulnerabilidade 3.5) ✅ - JÁ IMPLEMENTADO em commit anterior (f175682) - OIDC opcional via OIDC_ENABLED=true 5. Algoritmos SSH Legacy (Vulnerabilidade 3.6) ✅ - Adicionados: curve25519-sha256, curve25519-sha256@libssh.org - Removidos: diffie-hellman-group14-sha1 (legacy) - Removidos: diffie-hellman-group1-sha1 (INSEGURO) - Apenas SHA256+ algorithms mantidos 6. Configuração OIDC (Vulnerabilidade 3.1) ✅ - JÁ IMPLEMENTADO em commit anterior (f175682) - OIDC completamente funcional (opcional) FILES CHANGED: - src/App.tsx - Error state + mock data apenas em dev - api/routes/*.ts - Tipos unknown em todos os catch blocks - api/services/*.ts - Tipos unknown em todos os catch blocks - api/middleware/validation.ts - Tipo correto (error.issues) - api/services/server-metrics.ts - Algoritmos SSH modernos BUILD STATUS: - TypeScript: ✅ PASSED - npm run build: ✅ SUCCESS - npm audit: ✅ 0 vulnerabilities PROGRESS: - Phase 1 (Critical): 3/3 ✅ COMPLETE - Phase 2 (High): 6/6 ✅ COMPLETE - Phase 3 (Medium): 6/6 ✅ COMPLETE - Phase 4 (Low): 0/5 - Next Related: AUDIT-REPORT.md vulnerabilities 3.1, 3.2, 3.3, 3.4, 3.5, 3.6 Co-Authored-By: Claude Sonnet 4.5 <noreply@anthropic.com>
129 lines
3.3 KiB
TypeScript
129 lines
3.3 KiB
TypeScript
/**
|
|
* Input Validation Middleware with Zod
|
|
* Vulnerabilidade 2.4 - Adicionar validação de input
|
|
* @author Descomplicar® | @link descomplicar.pt | @copyright 2026
|
|
*/
|
|
import { z } from 'zod'
|
|
import type { Request, Response, NextFunction } from 'express'
|
|
|
|
/**
|
|
* Middleware genérico de validação Zod
|
|
*/
|
|
export function validateRequest(schema: {
|
|
body?: z.ZodSchema
|
|
params?: z.ZodSchema
|
|
query?: z.ZodSchema
|
|
}) {
|
|
return async (req: Request, res: Response, next: NextFunction) => {
|
|
try {
|
|
// Validar body
|
|
if (schema.body) {
|
|
req.body = await schema.body.parseAsync(req.body) as any
|
|
}
|
|
|
|
// Validar params
|
|
if (schema.params) {
|
|
req.params = await schema.params.parseAsync(req.params) as any
|
|
}
|
|
|
|
// Validar query
|
|
if (schema.query) {
|
|
req.query = await schema.query.parseAsync(req.query) as any
|
|
}
|
|
|
|
next()
|
|
} catch (error: unknown) {
|
|
if (error instanceof z.ZodError) {
|
|
return res.status(400).json({
|
|
error: 'Validation error',
|
|
details: error.issues.map((e: z.ZodIssue) => ({
|
|
field: e.path.join('.'),
|
|
message: e.message
|
|
}))
|
|
})
|
|
}
|
|
|
|
// Outros erros
|
|
return res.status(500).json({
|
|
error: 'Internal validation error'
|
|
})
|
|
}
|
|
}
|
|
}
|
|
|
|
// ============================================================================
|
|
// Schemas de validação para rotas comuns
|
|
// ============================================================================
|
|
|
|
/**
|
|
* Schema para WordPress Monitor POST
|
|
*/
|
|
export const wpMonitorSchema = {
|
|
body: z.object({
|
|
site_url: z.string().url('Invalid site_url format'),
|
|
site_name: z.string().optional(),
|
|
health: z.object({
|
|
status: z.enum(['good', 'recommended', 'critical']).optional()
|
|
}).optional(),
|
|
updates: z.object({
|
|
counts: z.object({
|
|
total: z.number().int().nonnegative()
|
|
}).optional(),
|
|
core: z.array(z.any()).optional()
|
|
}).optional(),
|
|
system: z.object({
|
|
debug_mode: z.boolean().optional()
|
|
}).optional(),
|
|
database: z.object({
|
|
size_mb: z.number().nonnegative().optional()
|
|
}).optional()
|
|
}).passthrough() // Permite campos adicionais
|
|
}
|
|
|
|
/**
|
|
* Schema para server metrics params
|
|
*/
|
|
export const serverMetricsParamsSchema = {
|
|
params: z.object({
|
|
server_id: z.string().regex(/^\d+$/, 'server_id must be numeric')
|
|
})
|
|
}
|
|
|
|
/**
|
|
* Schema para server metrics query
|
|
*/
|
|
export const serverMetricsQuerySchema = {
|
|
query: z.object({
|
|
hours: z.string().regex(/^\d+$/, 'hours must be numeric').optional().default('24')
|
|
})
|
|
}
|
|
|
|
/**
|
|
* Schema para dashboard query (semana)
|
|
*/
|
|
export const dashboardWeekSchema = {
|
|
query: z.object({
|
|
week: z.string().regex(/^\d{4}-\d{2}-\d{2}$/, 'week must be YYYY-MM-DD format').optional()
|
|
})
|
|
}
|
|
|
|
/**
|
|
* Schema para Hetzner server ID
|
|
*/
|
|
export const hetznerServerIdSchema = {
|
|
params: z.object({
|
|
server_id: z.string().regex(/^\d+$/, 'server_id must be numeric')
|
|
})
|
|
}
|
|
|
|
/**
|
|
* Schema para financial query (intervalo de datas)
|
|
*/
|
|
export const financialDateRangeSchema = {
|
|
query: z.object({
|
|
start: z.string().regex(/^\d{4}-\d{2}-\d{2}$/, 'start must be YYYY-MM-DD').optional(),
|
|
end: z.string().regex(/^\d{4}-\d{2}-\d{2}$/, 'end must be YYYY-MM-DD').optional(),
|
|
month: z.string().regex(/^\d{4}-\d{2}$/, 'month must be YYYY-MM').optional()
|
|
})
|
|
}
|