hacklab/resetea.net
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
resetea.net/api
History
Exact
hacklab 93d75ddafe fix(security): bypass de rate limiting via X-Forwarded-For spoofing — VULN: Rate limit evasion 
Vulnerabilidad corregida:
- Con 'trust proxy 1', Express usaba X-Forwarded-For como req.ip.
  Un atacante podia cambiar ese header en cada peticion para obtener
  un bucket de rate limit nuevo, bypasseando el limite de 8 busquedas/min.
  Demostrado: 12 requests exitosas cuando el limite era 8.

Mitigacion:
- keyGenerator en todos los rate limiters usa X-Real-IP (establecido por
  Nginx con $remote_addr, no manipulable por el cliente).
- trust proxy cambiado de '1' a 'loopback'.
- Verificado: con X-Real-IP fijo y XFF variando, rate limit actua en req 9.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-07 17:29:50 +02:00
..
routes fix(security): CRLF injection en campos opcionales + XSS en rtbfUrl — VULN: Header injection 2026-04-07 17:25:12 +02:00
services Add full project structure: backend API + frontend 2026-04-07 12:09:54 +02:00
.env.example Egosurfing: búsqueda real de huella digital con resultados top 5 2026-04-07 12:52:35 +02:00
app.js fix(security): bypass de rate limiting via X-Forwarded-For spoofing — VULN: Rate limit evasion 2026-04-07 17:29:50 +02:00
package-lock.json Add full project structure: backend API + frontend 2026-04-07 12:09:54 +02:00
package.json Add full project structure: backend API + frontend 2026-04-07 12:09:54 +02:00