chore: bump deps/config + audit securite (todo.txt)
package.json todo.txt
This commit is contained in:
@@ -41,5 +41,8 @@
|
|||||||
},
|
},
|
||||||
"engines": {
|
"engines": {
|
||||||
"node": ">=21.0.0"
|
"node": ">=21.0.0"
|
||||||
|
},
|
||||||
|
"allowScripts": {
|
||||||
|
"unrs-resolver": true
|
||||||
}
|
}
|
||||||
}
|
}
|
||||||
|
|||||||
@@ -1,96 +1,39 @@
|
|||||||
REVIEW DE CODE — 2026-04-26
|
# AUDIT SÉCURITÉ — dvf — 2026-06-21
|
||||||
============================================
|
# Stack: service Node (CLI one-shot d'import — pas de serveur HTTP, pas de controller, pas de service Docker)
|
||||||
|
# Méthode: revue de code statique. Findings réels uniquement (conventions stack acceptées exclues).
|
||||||
|
# Note: outil CLI lancé à la main (sync.js / parse.js). Pas de Dockerfile, pas de .drone.yml,
|
||||||
|
# absent du docker-compose.yml racine => aucune surface réseau exposée.
|
||||||
|
# .env présent sur disque MAIS git-ignored (.gitignore: .env + .env*) et NON git-tracké
|
||||||
|
# (git ls-files .env => vide). Donc pas de secret committé. Le .env contient néanmoins
|
||||||
|
# le mot de passe root MySQL de la prod flatbay.fr (mysql://root:...@flatbay.fr/dvf).
|
||||||
|
|
||||||
Outil CLI one-shot pour synchroniser la BDD `dvf` (Demandes de
|
## 🔴 CRITIQUE (exploitable à distance / fuite de données / RCE)
|
||||||
Valeurs Foncieres, donnees publiques data.gouv.fr) avec une table
|
RAS
|
||||||
MySQL. 2 scripts (parse.js 70 lignes, sync.js 155 lignes) + lib/
|
|
||||||
dotenv. Pas de service Docker, lance manuellement.
|
|
||||||
|
|
||||||
Le dossier contient ~4 Go de data CSV/GZ telechargees (gitignored).
|
## 🟠 ÉLEVÉ
|
||||||
Probablement utilise par flatbay pour les estimations immobilieres.
|
RAS
|
||||||
|
|
||||||
SECURITE
|
## 🟡 MOYEN
|
||||||
--------
|
[ ] Identifiant de colonne non échappé dans l'INSERT (injection SQL via en-tête CSV) — sync.js:69 (+85-87)
|
||||||
[ ] sync.js : fetch sans verification d'integrite
|
Risque: `columns` vient des clés du CSV distant, simplement entouré de backticks
|
||||||
sync.js:51 : `const res = await fetch(url)`. Pas de check du
|
(`\`${col}\``) au lieu de `connection.escapeId(col)`. Un nom de colonne contenant un
|
||||||
sha256 du fichier. data.gouv.fr est trusted, mais MITM ou
|
backtick casse l'identifiant et permettrait d'injecter du SQL dans `INSERT INTO dvf (...)`.
|
||||||
DNS hijack pourrait empoisonner les imports. Risque
|
Les VALEURS sont en placeholders `?` (sûres) — seul l'en-tête est concerné. Source =
|
||||||
theorique pour une source publique.
|
data.gouv.fr (de confiance), import CLI non exposé : exploitabilité réelle faible, mais
|
||||||
|
le projet possède déjà la bonne primitive (parse.js:48 utilise escapeId). À aligner.
|
||||||
|
Reco: `columns = Object.keys(record).map(col => connection.escapeId(col))` dans sync.js,
|
||||||
|
et valider que les colonnes attendues correspondent au schéma `dvf` (whitelist) avant insert.
|
||||||
|
|
||||||
BUGS / FRAGILITE
|
## 🔵 DURCISSEMENT (faible)
|
||||||
----------------
|
[ ] .env en clair contient le root MySQL de la prod flatbay.fr — .env:1
|
||||||
[ ] parse.js : code mort — INSERT commente
|
Risque: `mysql://root:Y3458mo_gppp@flatbay.fr/dvf`. Non committé (bien), mais c'est le
|
||||||
parse.js:37-40 :
|
compte root prod posé en clair sur le host de dev. Compromission du host = accès root BDD prod.
|
||||||
// connection.query(sql, (error, results) => {
|
Reco: utiliser un user MySQL dédié `dvf` à privilèges restreints (INSERT/SELECT sur la base
|
||||||
// if (error) throw error;
|
`dvf` uniquement), pas root. Confirmer que ce mot de passe n'a jamais transité par un commit
|
||||||
// console.log('Inserted rows:', results.affectedRows);
|
(historique git du repo Gitea) et le faire tourner s'il a fuité ailleurs.
|
||||||
// });
|
[ ] Téléchargement distant sans vérification d'intégrité — sync.js:48 / downloadYear
|
||||||
Le script ne fait que `console.log(sql)`. Donc parse.js ne
|
Risque: `fetch(url)` sur files.data.gouv.fr puis insertion directe en BDD prod, sans
|
||||||
fonctionne PAS, il print juste le SQL. Soit reactiver le
|
contrôle de hash/taille. Source publique de confiance (URL en dur, pas d'input user => pas de
|
||||||
query, soit delete tout le fichier (sync.js le remplace).
|
SSRF), mais un MITM/empoisonnement DNS empoisonnerait les données importées. Risque théorique.
|
||||||
|
Reco: vérifier un checksum publié si disponible, ou au minimum la taille/cohérence du fichier.
|
||||||
[ ] parse.js et sync.js : 2 scripts qui font le meme job
|
# Audit: pas de RCE/SSRF/command-injection/route exposée. Surface = un script d'import CLI.
|
||||||
parse.js : ancienne version pour CSV brut DVF. Charge un seul
|
|
||||||
fichier en parametre, gere CSV avec delimiteur `|` ou `,` selon
|
|
||||||
extension.
|
|
||||||
sync.js : version moderne pour geodvf, telecharge auto +
|
|
||||||
insertion batch via prepared statements.
|
|
||||||
A consolider en un seul script.
|
|
||||||
|
|
||||||
[ ] sync.js : pas de reprise sur erreur
|
|
||||||
sync.js:43-58 (downloadYear) : si la connexion casse au milieu
|
|
||||||
d'un download de plusieurs Go, le fichier .gz est partiel mais
|
|
||||||
`fs.existsSync` ligne 45 retourne true => skip le re-download.
|
|
||||||
Erreur silencieuse au parse. A check la taille ou utiliser
|
|
||||||
`.tmp` puis rename atomique.
|
|
||||||
|
|
||||||
[ ] sync.js : pas de DELETE/REPLACE pour les annees deja en BDD
|
|
||||||
sync.js:131 : `missing = serverYears.filter(y => !dbYears.
|
|
||||||
includes(y))`. Ne re-importe pas. Mais si les donnees d'une
|
|
||||||
annee sont mises a jour cote source (ex: 2024 corrige), pas
|
|
||||||
de mecanisme pour rafraichir. A faire un mode `--force` ou
|
|
||||||
upsert.
|
|
||||||
|
|
||||||
[ ] sync.js : forceYear traite seulement
|
|
||||||
sync.js:131-135 : `forceYear` ecrase le filter des manquantes,
|
|
||||||
importe une annee specifique. Mais ne supprime pas les rows
|
|
||||||
existantes => duplicates en BDD. Bug si execute 2 fois pour
|
|
||||||
la meme annee.
|
|
||||||
|
|
||||||
[ ] sync.js : `process.argv[2]` pour forceYear
|
|
||||||
sync.js:119. Pas de yargs ou argument parser. Fragile (pas
|
|
||||||
d'aide, pas de validation). Cf scripts/assistant/release.js
|
|
||||||
dans check/ qui utilise yargs.
|
|
||||||
|
|
||||||
[ ] sync.js : `inserted % 100_000 < BATCH_SIZE` modulo log progress
|
|
||||||
sync.js:76 : `if (inserted % 100_000 < BATCH_SIZE)`. Si BATCH_SIZE
|
|
||||||
ne divise pas exactement 100_000, le log peut etre saute ou
|
|
||||||
duplique. Edge case mineur.
|
|
||||||
|
|
||||||
[ ] parse.js : fragile sur extensions multiples
|
|
||||||
parse.js:13 : `const delimiter = (file.match(/\\.gz$/)) ? ',' :
|
|
||||||
'|';`. Si le fichier est `2025.full.csv` (sans .gz), utilise
|
|
||||||
`|`. Si c'est un fichier geodvf .csv sans .gz, faux delimiteur.
|
|
||||||
A baser sur le contenu (autodetection).
|
|
||||||
|
|
||||||
[ ] sync.js : connection.end() jamais en cas d'erreur
|
|
||||||
sync.js:139, 152 : end() appele sur les paths ok/done. Si une
|
|
||||||
exception throw entre-temps, connection reste ouverte. A
|
|
||||||
passer en try/finally.
|
|
||||||
|
|
||||||
[ ] columns : Object.keys(record).map(col => `\`${col}\``)
|
|
||||||
sync.js:89. Si le nom de colonne contient un backtick (peu
|
|
||||||
probable cote data.gouv), escape cassé. A passer en
|
|
||||||
`connection.escapeId(col)` (utilise dans parse.js:53).
|
|
||||||
|
|
||||||
CODE MORT / POLLUTION
|
|
||||||
---------------------
|
|
||||||
[ ] README.md : 30+ lignes de curl manuels
|
|
||||||
Inutile depuis sync.js qui fait le download auto. A simplifier.
|
|
||||||
|
|
||||||
CONVENTIONS
|
|
||||||
-----------
|
|
||||||
[ ] Mauvaise pratique : parse.js fait du concat avec escape
|
|
||||||
parse.js:32 : `batch.map(row => '(' + row.map(val => connection.
|
|
||||||
escape(val)).join(', ') + ')')`. Theoriquement OK avec escape,
|
|
||||||
mais prepared statements sont preferes. A migrer ou delete.
|
|
||||||
|
|||||||
Reference in New Issue
Block a user