hacklab/resetea.net
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions
resetea.net/api/app.js
hacklab 93d75ddafe fix(security): bypass de rate limiting via X-Forwarded-For spoofing — VULN: Rate limit evasion 
Vulnerabilidad corregida:
- Con 'trust proxy 1', Express usaba X-Forwarded-For como req.ip.
  Un atacante podia cambiar ese header en cada peticion para obtener
  un bucket de rate limit nuevo, bypasseando el limite de 8 busquedas/min.
  Demostrado: 12 requests exitosas cuando el limite era 8.

Mitigacion:
- keyGenerator en todos los rate limiters usa X-Real-IP (establecido por
  Nginx con $remote_addr, no manipulable por el cliente).
- trust proxy cambiado de '1' a 'loopback'.
- Verificado: con X-Real-IP fijo y XFF variando, rate limit actua en req 9.

Co-Authored-By: Claude Sonnet 4.6 <noreply@anthropic.com>
2026-04-07 17:29:50 +02:00

78 lines
3.1 KiB
JavaScript
Raw Permalink Blame History

'use strict';
require('dotenv').config();
const express = require('express');
const helmet = require('helmet');
const rateLimit = require('express-rate-limit');
const eraseRoute = require('./routes/erase');
const gmailOAuth = require('./routes/gmail_oauth');
const egosearch = require('./routes/egosearch');
const app = express();
// trust proxy: loopback para que req.ip use X-Forwarded-For correctamente,
// pero el keyGenerator de rate-limit usa X-Real-IP (imposible de spoofear por clientes)
// porque Nginx lo establece desde $remote_addr (dirección TCP real).
app.set('trust proxy', 'loopback');
app.disable('x-powered-by');
app.use(helmet());
app.use(express.json({ limit: '10kb' }));
/* Extrae la IP real desde X-Real-IP (puesto por Nginx con $remote_addr).
No puede ser manipulado por el cliente — Nginx sobreescribe este header. */
function realIp(req) {
return req.headers['x-real-ip'] || req.ip || '0.0.0.0';
}
// Rate limiting general — usa IP real (anti-bypass X-Forwarded-For)
app.use(rateLimit({
windowMs: 15 * 60 * 1000,
max: 100,
standardHeaders: true,
legacyHeaders: false,
keyGenerator: realIp,
}));
// Rate limiting específico para envío de emails (más estricto)
const emailLimit = rateLimit({
windowMs: 60 * 60 * 1000, // 1 hora
max: 10,
message: { error: 'Demasiadas solicitudes de envío. Espera antes de reintentar.' },
keyGenerator: realIp,
});
// ── Rate limits específicos ───────────────────────────────────────
const searchLimit = rateLimit({
windowMs: 60 * 1000, // 1 minuto
max: 8,
message: { error: 'Demasiadas búsquedas. Espera un momento.' },
keyGenerator: realIp,
});
// ── Rutas ────────────────────────────────────────────────────────
app.post('/api/erase', emailLimit, eraseRoute);
app.get('/api/egosearch', searchLimit, egosearch);
app.get('/api/gmail/auth', emailLimit, gmailOAuth.authInit);
app.get('/api/gmail/callback', gmailOAuth.authCallback);
// Health check
app.get('/api/health', (req, res) => res.json({ status: 'ok' }));
// ── Arranque ─────────────────────────────────────────────────────
const PORT = process.env.PORT || 8787;
const server = app.listen(PORT, '127.0.0.1', () => {
console.log(`RESETEA backend corriendo en 127.0.0.1:${PORT}`);
if (!process.env.GOOGLE_CLIENT_ID) {
console.warn('⚠ GOOGLE_CLIENT_ID no configurado — OAuth Gmail deshabilitado');
}
if (!process.env.SALT) {
console.warn('⚠ SALT no configurado en .env — el hash de referencia usa salt por defecto');
}
});
// Mitigación Slowloris: timeout en headers y body incompletos
server.headersTimeout = 10_000; // 10 s para recibir los headers completos
server.requestTimeout = 15_000; // 15 s para recibir el body completo
server.keepAliveTimeout = 5_000; // cierra keep-alive inactivos tras 5 s
Reference in a new issue View git blame Copy permalink