senke/veza
1
0
Fork 0
Code Issues Pull requests Projects Releases Packages Wiki Activity Actions

feat(v0.12.6): pentest security audit — 3 deliverables

Browse source 
- PENTEST_REPORT_VEZA_v0.12.6.md: 14 findings (0 CRIT, 2 HIGH, 5 MEDIUM, 4 LOW, 3 INFO), 18 PASS controls
- REMEDIATION_MATRIX_v0.12.6.md: prioritized remediation actions (P1: 4h, P2: 5h, P3: 5.5h)
- ASVS_CHECKLIST_v0.12.6.md: OWASP ASVS Level 2 — 92/101 (91.1%) conformity

Methodology: SAST + manual code review, OWASP Top 10 2021, API Security Top 10 2023

Co-Authored-By: Claude Opus 4.6 <noreply@anthropic.com>
This commit is contained in:
senke 2026-03-13 16:44:38 +01:00
parent a1e33ecfb6
commit bc472ead41
3 changed files with 656 additions and 0 deletions
Show stats Download patch file Download diff file Expand all files Collapse all files

244
docs/ASVS_CHECKLIST_v0.12.6.md Normal file
View file

@ -0,0 +1,244 @@
# OWASP ASVS Level 2 Checklist — VEZA v0.12.6
**Date** : 2026-03-13
**Standard** : OWASP Application Security Verification Standard v4.0.3, Level 2
**Scope** : VEZA monorepo (Go backend, Rust stream server, React frontend)
---
## Légende
- ✅ PASS — Contrôle vérifié et conforme
- ⚠️ PARTIAL — Contrôle partiellement implémenté (finding associé)
- ❌ FAIL — Contrôle non conforme (finding associé)
- N/A — Non applicable
---
## V1 — Architecture, Design and Threat Modeling
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V1.1.1 | Application uses a single vetted security architecture | ✅ PASS | Architecture hexagonale, middlewares auth centralisés |
| V1.1.2 | Security controls are applied centrally | ✅ PASS | Auth middleware, rate limit middleware, CORS config centralisée |
| V1.1.3 | Sensitive data is identified and protected | ✅ PASS | `json:"-"` sur passwords, tokens, secrets MFA |
| V1.1.4 | All application components are defined | ✅ PASS | ORIGIN_MASTER_ARCHITECTURE.md documente tous les composants |
| V1.1.5 | High-value business logic flows defined | ✅ PASS | ORIGIN_BUSINESS_LOGIC.md + payment flow tests |
| V1.1.6 | Threat model exists | ⚠️ PARTIAL | ORIGIN_SECURITY_FRAMEWORK.md existe mais pas de threat model formel |
---
## V2 — Authentication
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V2.1.1 | Password min length ≥ 8 | ✅ PASS | Validation de complexité dans password_service.go |
| V2.1.2 | Password max length ≥ 64 | ✅ PASS | Max 72 bytes (bcrypt limit) enforced |
| V2.1.3 | No password truncation | ✅ PASS | Validation explicite de la longueur avant hachage |
| V2.1.4 | Passwords are stored using approved hashing | ⚠️ PARTIAL | bcrypt utilisé mais cost incohérent (10 vs 12) — **MEDIUM-001** |
| V2.1.5 | Password change requires old password | ✅ PASS | `ChangePassword()` vérifie l'ancien mot de passe |
| V2.1.6 | Password breach checking | ✅ PASS | Password history (5 derniers) vérifié |
| V2.2.1 | Anti-automation controls on auth | ✅ PASS | Rate limiting sur login/register |
| V2.2.2 | Weak authenticator resistance | ✅ PASS | Brute-force protection via rate limiting |
| V2.2.3 | Credential recovery resists abuse | ✅ PASS | Password reset tokens limités, expirent |
| V2.3.1 | Session tokens are generated using approved CSPRNG | ✅ PASS | crypto/rand utilisé (19 fichiers) |
| V2.4.1 | MFA available | ✅ PASS | TOTP MFA + recovery codes implémentés |
| V2.5.1 | Tokens not sent as query parameters | ✅ PASS | JWT via cookies HttpOnly |
| V2.5.2 | Token integrity is checked | ✅ PASS | JWT RS256 signature verification |
| V2.5.3 | Stateless tokens include expiry | ✅ PASS | JWT `exp` claim enforced |
| V2.5.4 | JWT algorithm whitelisting | ✅ PASS | RS256 primary, HS256 dev-only fallback |
| V2.7.1 | Passwords are hashed with salt | ✅ PASS | bcrypt inclut le salt automatiquement |
| V2.8.1 | Session management for auth tokens | ✅ PASS | Session service avec revocation, token rotation |
| V2.9.1 | WebAuthn support | ✅ PASS | WebAuthn credentials stored securely (`json:"-"`) |
---
## V3 — Session Management
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V3.1.1 | Application never reveals session tokens in URL | ✅ PASS | Cookies HttpOnly uniquement |
| V3.2.1 | Logout invalidates session | ✅ PASS | Token blacklist + session deletion |
| V3.2.2 | Logout invalidates all sessions option | ✅ PASS | "Revoke all sessions" available |
| V3.2.3 | Session timeout after inactivity | ✅ PASS | Token expiration configured |
| V3.3.1 | Session token is changed after login | ✅ PASS | New JWT issued on each login |
| V3.4.1 | Cookie-based tokens have Secure flag | ✅ PASS | Auto-secure in production (cors.go:12-18) |
| V3.4.2 | Cookie-based tokens have HttpOnly flag | ✅ PASS | `CookieHttpOnly: true` |
| V3.4.3 | Cookie-based tokens have SameSite attribute | ⚠️ PARTIAL | SameSite=Lax (Strict préférable) — **LOW-001** |
| V3.4.4 | Cookie-based tokens use __Host- prefix | N/A | Non requis pour Level 2 |
| V3.5.1 | Tokens are validated on every request | ✅ PASS | Auth middleware validates JWT on protected routes |
| V3.7.1 | Admin can revoke user sessions | ✅ PASS | Admin session management available |
---
## V4 — Access Control
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V4.1.1 | Principle of least privilege | ✅ PASS | Role-based access (user, creator, moderator, admin) |
| V4.1.2 | Access control applied server-side | ✅ PASS | All auth checks in Go middleware/handlers |
| V4.1.3 | Deny by default | ✅ PASS | Protected routes require explicit auth middleware |
| V4.2.1 | Sensitive data access restricted | ⚠️ PARTIAL | followers_count public — **HIGH-002** |
| V4.2.2 | User can only access own data | ✅ PASS | GDPR export/delete checks user ownership |
| V4.3.1 | Admin functions protected | ✅ PASS | `RequireRole("admin")` middleware |
| V4.3.2 | Users cannot access unauthorized admin APIs | ✅ PASS | Role check in middleware before handler |
---
## V5 — Validation, Sanitization and Encoding
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V5.1.1 | HTTP parameter pollution defense | ✅ PASS | Gin framework handles this natively |
| V5.1.2 | Input validation on all inputs | ✅ PASS | Struct binding with validation tags |
| V5.1.3 | Output encoding for context | ✅ PASS | React auto-escapes, Go JSON marshaling |
| V5.2.1 | Untrusted HTML sanitized | ✅ PASS | No user HTML rendering |
| V5.3.1 | SQL injection prevention | ✅ PASS | Parameterized queries everywhere |
| V5.3.2 | OS command injection prevention | ✅ PASS | No exec.Command with user input |
| V5.3.3 | LDAP injection prevention | N/A | No LDAP used |
| V5.3.4 | XSS prevention | ✅ PASS | React JSX auto-escaping, CSP header |
| V5.3.7 | SSRF prevention | ✅ PASS | No user-controlled URL fetching in backend |
| V5.5.1 | Serialization attacks prevented | ✅ PASS | No deserialization of untrusted data |
---
## V6 — Stored Cryptography
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V6.1.1 | Regulated data encrypted at rest | ✅ PASS | Passwords bcrypt-hashed, tokens hashed |
| V6.2.1 | Approved cryptographic algorithms | ✅ PASS | bcrypt, RS256, HMAC-SHA512, crypto/rand |
| V6.2.2 | Industry-proven crypto libraries | ✅ PASS | Go stdlib crypto, `golang.org/x/crypto` |
| V6.2.3 | Random values from CSPRNG | ✅ PASS | `crypto/rand` exclusively (not math/rand) |
| V6.2.4 | Key rotation supported | ✅ PASS | JWT key rotation documented |
| V6.3.1 | Secrets not in source code | ✅ PASS | `.env.production` uses `${VAR}` templates, gitleaks CI scan |
| V6.4.1 | Key management procedures | ✅ PASS | JWT RSA keys loaded from env/files |
---
## V7 — Error Handling and Logging
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V7.1.1 | Generic error messages to users | ✅ PASS | apierror package with structured errors, no stack traces |
| V7.1.2 | Security-sensitive errors logged | ✅ PASS | Structured JSON logging with zap |
| V7.1.3 | No sensitive data in error responses | ✅ PASS | Error context sanitized |
| V7.2.1 | All auth decisions logged | ✅ PASS | Login success/failure, session revocation logged |
| V7.2.2 | All access control failures logged | ✅ PASS | 401/403 responses logged |
| V7.3.1 | Logs protected from injection | ✅ PASS | Structured logging (zap) prevents log injection |
| V7.4.1 | Sensitive data not logged | ✅ PASS | Passwords, tokens not in log fields |
---
## V8 — Data Protection
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V8.1.1 | PII identified and classified | ✅ PASS | PRIVACY_POLICY.md §2 lists all data |
| V8.1.2 | Sensitive data in transit encrypted | ✅ PASS | HTTPS/TLS enforced, HSTS header |
| V8.2.1 | Sensitive data not in URL | ✅ PASS | Auth via cookies, not URL params |
| V8.2.2 | HTTP caching headers on sensitive data | ✅ PASS | Cache-Control set on auth responses |
| V8.3.1 | Sensitive data removable on request | ✅ PASS | GDPR deletion endpoint functional |
| V8.3.2 | Data export available | ✅ PASS | GDPR export endpoint (JSON, 48h) |
| V8.3.4 | Data retention policy defined | ✅ PASS | PRIVACY_POLICY.md §7 — retention table |
---
## V9 — Communication
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V9.1.1 | TLS for all connections | ✅ PASS | HTTPS enforced, HSTS |
| V9.1.2 | TLS 1.2+ only | ✅ PASS | Go net/http defaults to TLS 1.2+ |
| V9.1.3 | Strong cipher suites | ✅ PASS | Go stdlib uses modern ciphers |
| V9.2.1 | Webhook signature verification | ✅ PASS | HMAC-SHA512 with hmac.Equal() |
---
## V10 — Malicious Code
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V10.1.1 | No malicious code (backdoors, etc.) | ✅ PASS | No suspicious patterns found |
| V10.2.1 | No time bombs | ✅ PASS | No scheduled destructive operations |
| V10.3.1 | Source code review performed | ✅ PASS | This audit |
---
## V11 — Business Logic
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V11.1.1 | Business logic flow enforced server-side | ✅ PASS | Payment flow, payout flow verified |
| V11.1.2 | Business logic limits enforced | ✅ PASS | Rate limits, pagination limits |
| V11.1.3 | Anti-automation on business-critical functions | ✅ PASS | Rate limiting on payments, uploads |
| V11.1.4 | Ethical business logic verified | ⚠️ PARTIAL | Backend track metrics hidden, but API leaks followers/post likes — **HIGH-002, MEDIUM-004** |
---
## V12 — Files and Resources
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V12.1.1 | File upload size limits | ✅ PASS | Upload validation service with size limits |
| V12.1.2 | File type validation | ✅ PASS | `ValidateFile()` checks file types |
| V12.1.3 | File stored outside webroot | ✅ PASS | MinIO/S3 object storage |
| V12.3.1 | User-submitted filenames sanitized | ✅ PASS | UUID-based storage paths |
| V12.4.1 | No path traversal | ✅ PASS | No user input in file system paths |
---
## V13 — API and Web Service
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V13.1.1 | All API endpoints require auth or are explicitly public | ✅ PASS | Auth middleware on protected routes |
| V13.1.2 | API uses standard auth mechanisms | ✅ PASS | JWT bearer tokens |
| V13.1.3 | No unnecessary API exposure | ✅ PASS | Metrics endpoint protected |
| V13.2.1 | Rate limiting on all APIs | ⚠️ PARTIAL | Rate limit bypassable via IP spoofing — **HIGH-001** |
| V13.2.2 | API schema validation | ✅ PASS | Gin binding validation |
| V13.3.1 | Pagination implemented | ✅ PASS | Keyset pagination with limits |
| V13.4.1 | CORS properly configured | ⚠️ PARTIAL | HTTP origins in .env.production — **MEDIUM-003** |
---
## V14 — Configuration
| # | Contrôle | Statut | Notes |
|---|----------|--------|-------|
| V14.1.1 | Server configuration hardened | ✅ PASS | Security headers (HSTS, CSP, X-Frame-Options) |
| V14.2.1 | Dependency integrity | ⚠️ PARTIAL | GitHub Actions not all pinned by SHA — **MEDIUM-002** |
| V14.2.2 | No known vulnerabilities in dependencies | ✅ PASS | Trivy scans in CI, cargo audit, npm audit |
| V14.3.1 | Security headers set | ✅ PASS | HSTS, CSP, COEP, COOP |
| V14.4.1 | No default credentials | ✅ PASS | `.env.production` uses templates |
| V14.5.1 | HTTP security headers | ✅ PASS | X-Content-Type-Options, Referrer-Policy |
---
## Résumé ASVS
| Catégorie | Total | ✅ PASS | ⚠️ PARTIAL | ❌ FAIL | N/A |
|-----------|-------|---------|------------|--------|--------|
| V1 Architecture | 6 | 5 | 1 | 0 | 0 |
| V2 Authentication | 18 | 17 | 1 | 0 | 0 |
| V3 Session Mgmt | 11 | 10 | 1 | 0 | 0 |
| V4 Access Control | 7 | 6 | 1 | 0 | 0 |
| V5 Validation | 10 | 9 | 0 | 0 | 1 |
| V6 Cryptography | 7 | 7 | 0 | 0 | 0 |
| V7 Error Handling | 7 | 7 | 0 | 0 | 0 |
| V8 Data Protection | 7 | 7 | 0 | 0 | 0 |
| V9 Communication | 4 | 4 | 0 | 0 | 0 |
| V10 Malicious Code | 3 | 3 | 0 | 0 | 0 |
| V11 Business Logic | 4 | 3 | 1 | 0 | 0 |
| V12 Files | 5 | 5 | 0 | 0 | 0 |
| V13 API | 6 | 4 | 2 | 0 | 0 |
| V14 Configuration | 6 | 5 | 1 | 0 | 0 |
| **Total** | **101** | **92** | **9** | **0** | **1** |
**Taux de conformité ASVS Level 2** : **92/101 (91.1%)**
Les 9 contrôles partiels sont tous associés à des findings documentés dans le rapport de pentest avec des remédiations concrètes.
---
*Checklist ASVS générée le 2026-03-13 — VEZA v0.12.6*

320
docs/PENTEST_REPORT_VEZA_v0.12.6.md Normal file
View file

@ -0,0 +1,320 @@
# Rapport de Pentest — VEZA v0.12.6
**Date** : 2026-03-13
**Auditeur** : Claude Code (SAST + revue manuelle de code)
**Scope** : Monorepo complet — Go backend, Rust stream server, React frontend, CI/CD, infrastructure Docker
**Méthodologie** : OWASP Top 10 2021, OWASP API Security Top 10 2023, ASVS Level 2
**Référence** : ORIGIN_SECURITY_FRAMEWORK.md
---
## Résumé Exécutif
| Sévérité | Count |
|----------|-------|
| CRITICAL | 0 |
| HIGH | 2 |
| MEDIUM | 5 |
| LOW | 4 |
| INFO | 3 |
| **Total findings** | **14** |
| **PASS (contrôles validés)** | **18** |
**Posture globale** : La codebase VEZA présente une posture de sécurité **solide** pour une RC. Aucune vulnérabilité critique n'a été identifiée. Les 2 findings HIGH concernent des fuites de métriques de popularité dans l'API publique (violation éthique) et un contournement potentiel de rate limiting via IP spoofing. Les contrôles cryptographiques, l'authentification JWT, la prévention d'injection SQL et la conformité RGPD sont bien implémentés.
---
## Findings
### HIGH-001 — IP Spoofing via X-Forwarded-For (Rate Limit Bypass)
| Champ | Valeur |
|-------|--------|
| **Sévérité** | HIGH |
| **OWASP** | API4:2023 — Unrestricted Resource Consumption |
| **Fichier** | `veza-backend-api/internal/handlers/common.go:601-610` |
| **CVSS** | 7.5 (AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H) |
**Description** : La méthode `GetClientIP()` lit directement le header `X-Forwarded-For` sans passer par `c.ClientIP()` de Gin, qui respecte `Engine.SetTrustedProxies`. Un attaquant peut injecter un faux header X-Forwarded-For pour contourner les rate limits basés sur l'IP.
```go
// VULNÉRABLE (common.go:604)
if ip := c.GetHeader("X-Forwarded-For"); ip != "" {
return strings.Split(ip, ",")[0]
}
```
**Impact** : Contournement complet du rate limiting pour les endpoints non authentifiés (login, register, password reset). Permet des attaques brute-force sur les credentials.
**Remédiation** : Remplacer par `c.ClientIP()` et configurer `gin.Engine.SetTrustedProxies()` avec les IPs des reverse proxies de confiance.
**Note** : Le middleware `metrics_protection.go:51-53` utilise correctement `c.ClientIP()` — le fix est déjà documenté dans un commentaire SECURITY(MEDIUM-002).
---
### HIGH-002 — Métriques de popularité exposées dans l'API publique
| Champ | Valeur |
|-------|--------|
| **Sévérité** | HIGH |
| **OWASP** | Business Logic Flaw |
| **Fichiers** | `user_service.go:75`, `social_service.go:321`, `types/stats.go:31` |
| **Réf. ORIGIN** | ORIGIN_UI_UX_SYSTEM.md §13.4, §14.2 |
**Description** : Les endpoints publics de profil utilisateur (`GET /api/v1/users/:id`, `GET /api/v1/users/by-username/:username`) retournent `followers_count` et `following_count` dans la réponse JSON via `PublicUserResponse`. L'endpoint `GET /api/v1/users/suggestions` retourne aussi `followers_count` via `SuggestionUser`.
Ceci viole le principe éthique fondamental de VEZA : **les métriques de popularité ne doivent JAMAIS être exposées publiquement**.
**Impact** : Permet le classement social des utilisateurs, contredit les engagements éthiques de la plateforme (privacy policy §4, ORIGIN §13.4).
**Remédiation** :
- Supprimer `followers_count` et `following_count` de `PublicUserResponse`
- Supprimer `followers_count` de `SuggestionUser`
- Exposer ces métriques uniquement dans le dashboard créateur privé (derrière auth + ownership check)
---
### MEDIUM-001 — Incohérence du coût bcrypt
| Champ | Valeur |
|-------|--------|
| **Sévérité** | MEDIUM |
| **OWASP** | A02:2021 — Cryptographic Failures |
| **Fichier** | `veza-backend-api/internal/core/auth/service.go:156, :986` |
**Description** : Le service d'authentification utilise `bcrypt.DefaultCost` (10) pour le hachage des mots de passe lors de l'inscription et du reset, tandis que `password_service.go` utilise correctement `bcryptCost = 12`.
```go
// auth/service.go:156 — coût 10
hashedPassword, err := bcrypt.GenerateFromPassword([]byte(password), bcrypt.DefaultCost)
// password_service.go:22 — coût 12
const bcryptCost = 12
```
**Impact** : Les mots de passe créés via `Register()` ou `ResetPasswordWithToken()` sont 4x plus rapides à brute-forcer que ceux créés via `PasswordService.ChangePassword()`.
**Remédiation** : Remplacer `bcrypt.DefaultCost` par la constante `bcryptCost` (12) dans auth/service.go, ou centraliser le hachage dans PasswordService.
---
### MEDIUM-002 — GitHub Actions non épinglées par SHA
| Champ | Valeur |
|-------|--------|
| **Sévérité** | MEDIUM |
| **OWASP** | A08:2021 — Software and Data Integrity Failures |
| **Fichiers** | `sast.yml`, `security-scan.yml`, `cd.yml`, `stream-ci.yml`, `container-scan.yml`, `staging-validation.yml` |
**Description** : 12+ actions GitHub sont référencées par tag (`@v3`, `@v2`, `@master`) au lieu de SHA complet. Un compromission du repo upstream permettrait l'injection de code malveillant dans le pipeline CI/CD.
Actions concernées :
- `github/codeql-action/*@v3` (3 usages)
- `gitleaks/gitleaks-action@v2`
- `docker/setup-buildx-action@v3` (2 usages)
- `aquasecurity/trivy-action@0.28.0` et `@master` (5 usages)
- `sigstore/cosign-installer@v3`
- `actions-rust-lang/audit@v1`
**Impact** : Supply chain attack sur le pipeline CI/CD. Exfiltration de secrets, injection de code dans les builds.
**Remédiation** : Épingler toutes les actions par SHA (déjà fait pour `actions/checkout`, `actions/setup-go`, etc.). Utiliser Dependabot pour les mises à jour.
---
### MEDIUM-003 — CORS .env.production avec HTTP
| Champ | Valeur |
|-------|--------|
| **Sévérité** | MEDIUM |
| **OWASP** | A05:2021 — Security Misconfiguration |
| **Fichier** | `veza-backend-api/.env.production:40` |
**Description** : Le fichier `.env.production` contient des origines CORS en HTTP avec port 5173 (dev) :
```
CORS_ALLOWED_ORIGINS=http://veza.com:5173,http://veza.talas.fr:5173,...
```
Bien qu'un commentaire indique les valeurs HTTPS pour la production, le fichier pourrait être déployé tel quel.
**Impact** : En cas de déploiement accidentel, les cookies auth pourraient être envoyés sur des connexions HTTP non chiffrées.
**Remédiation** : Renommer en `.env.development` ou mettre les valeurs HTTPS par défaut avec override via variables d'environnement.
---
### MEDIUM-004 — Social Post like_count exposé publiquement
| Champ | Valeur |
|-------|--------|
| **Sévérité** | MEDIUM |
| **OWASP** | Business Logic Flaw |
| **Fichier** | `veza-backend-api/internal/core/social/models.go:32` |
**Description** : Le modèle `Post` (social) expose `like_count` avec `json:"like_count"` sans tag `json:"-"`. Les posts sociaux sérialisés dans les réponses API incluent le nombre de likes.
Contrairement au modèle `Track` qui a correctement `json:"-"` sur `PlayCount` et `LikeCount`, les posts sociaux n'ont pas cette protection.
**Impact** : Incohérence avec la politique éthique de non-exposition des métriques de popularité.
**Remédiation** : Ajouter `json:"-"` au champ `LikeCount` du modèle `Post`, ou le rendre visible uniquement à l'auteur du post.
---
### MEDIUM-005 — Dashboard TrackPreview expose play_count/like_count sans ownership check granulaire
| Champ | Valeur |
|-------|--------|
| **Sévérité** | MEDIUM |
| **OWASP** | API1:2023 — Broken Object Level Authorization |
| **Fichier** | `veza-backend-api/internal/handlers/dashboard.go:149-150` |
**Description** : La struct `TrackPreview` expose `play_count` et `like_count` en JSON. L'endpoint dashboard (`GET /api/v1/dashboard`) est protégé par auth et retourne les tracks du user authentifié — donc c'est le créateur qui voit ses propres métriques. Cependant, si la struct `TrackPreview` est réutilisée ailleurs, les métriques fuiteraient.
**Impact** : Risque faible actuellement (endpoint bien protégé), mais architecture fragile.
**Remédiation** : Créer un type `TrackPreviewPublic` sans métriques pour les contextes publics, garder `TrackPreview` avec métriques uniquement pour le dashboard privé.
---
### LOW-001 — Cookie SameSite=Lax au lieu de Strict
| Champ | Valeur |
|-------|--------|
| **Sévérité** | LOW |
| **Fichier** | `veza-backend-api/internal/config/config.go:138` |
**Description** : Les cookies d'authentification utilisent `SameSite=Lax` au lieu de `Strict`. Cela permet l'envoi de cookies lors de navigations top-level depuis des sites tiers (par exemple, un lien depuis un email de phishing).
**Impact** : Risque CSRF résiduel pour les requêtes GET qui modifient l'état (normalement aucune dans une API REST bien conçue).
**Remédiation** : Passer à `SameSite=Strict` si aucun flow OAuth/redirect externe ne nécessite `Lax`.
---
### LOW-002 — CASCADE DELETE extensif dans les migrations
| Champ | Valeur |
|-------|--------|
| **Sévérité** | LOW |
| **Fichier** | `veza-backend-api/migrations/*.sql` (30+ occurrences) |
**Description** : La quasi-totalité des clés étrangères utilisent `ON DELETE CASCADE`. En cas de suppression accidentelle d'un utilisateur, toutes ses données associées (tracks, messages, playlists, orders, etc.) sont supprimées en cascade.
**Impact** : Perte de données irréversible en cas d'erreur admin ou de bug dans la logique de suppression.
**Remédiation** : Utiliser `ON DELETE RESTRICT` ou `ON DELETE SET NULL` pour les entités business critiques (orders, payments). Implémenter le soft delete systématiquement.
---
### LOW-003 — utils.HashPassword utilise bcrypt.DefaultCost
| Champ | Valeur |
|-------|--------|
| **Sévérité** | LOW |
| **Fichier** | `veza-backend-api/internal/utils/utils.go:57` |
**Description** : La fonction utilitaire `HashPassword()` utilise `bcrypt.DefaultCost` (10). Si elle est appelée en production (au lieu de `PasswordService`), le coût sera inférieur au standard de 12.
**Remédiation** : Aligner sur `bcryptCost = 12` ou supprimer cette fonction si elle n'est pas utilisée en production.
---
### LOW-004 — Staging validation workflow actions non épinglées
| Champ | Valeur |
|-------|--------|
| **Sévérité** | LOW |
| **Fichier** | `.github/workflows/staging-validation.yml:35` |
**Description** : `docker/setup-buildx-action@v3` non épinglé par SHA dans le workflow de staging.
**Remédiation** : Épingler par SHA comme les autres actions.
---
### INFO-001 — Binary database dump dans le repo
| Champ | Valeur |
|-------|--------|
| **Sévérité** | INFO |
| **Fichier** | `veza-backend-api/veza_back_api_db/` |
**Description** : Un dump de base de données binaire est présent dans le repo. Bien que les données semblent être de développement, des informations sensibles (hashes, tokens) peuvent s'y trouver.
**Remédiation** : Ajouter ce répertoire au `.gitignore` et supprimer de l'historique git avec `git filter-branch` ou BFG Repo-Cleaner.
---
### INFO-002 — hash_gen tool utilise bcrypt.DefaultCost
| Champ | Valeur |
|-------|--------|
| **Sévérité** | INFO |
| **Fichier** | `veza-backend-api/cmd/tools/hash_gen/main.go:11` |
**Description** : L'outil CLI `hash_gen` utilise `bcrypt.DefaultCost`. Comme c'est un outil de développement, l'impact est nul, mais il serait bon d'aligner pour la cohérence.
---
### INFO-003 — create_test_user tool utilise bcrypt.DefaultCost
| Champ | Valeur |
|-------|--------|
| **Sévérité** | INFO |
| **Fichier** | `veza-backend-api/cmd/tools/create_test_user/main.go:54,72` |
**Description** : Même constat que INFO-002 pour l'outil de création d'utilisateurs test.
---
## Contrôles Validés (PASS)
| # | Contrôle | Statut | Preuve |
|---|----------|--------|--------|
| P01 | Injection SQL | ✅ PASS | Toutes les requêtes db.Raw() utilisent des placeholders `?`. Aucune concaténation de chaînes dans les requêtes SQL. |
| P02 | Injection de commande | ✅ PASS | Aucun usage de `exec.Command`, `os/exec`, ou équivalent avec input utilisateur. |
| P03 | JWT RS256 en production | ✅ PASS | `jwt_service.go` : RS256 primary, HS256 fallback dev only. |
| P04 | Secrets non exposés | ✅ PASS | PasswordHash, tokens, secrets MFA ont `json:"-"`. API keys hashées. |
| P05 | crypto/rand (pas math/rand) | ✅ PASS | 19 fichiers utilisent `crypto/rand`. Aucun usage de `math/rand` pour la sécurité. |
| P06 | Webhook HMAC-SHA512 | ✅ PASS | Vérification HMAC correcte avec `hmac.Equal()` (timing-safe). |
| P07 | Race condition prevention | ✅ PASS | `SELECT FOR UPDATE` utilisé pour les opérations concurrentes sur les soldes. |
| P08 | Cookie HttpOnly | ✅ PASS | `CookieHttpOnly: true` pour access_token et refresh_token. |
| P09 | Cookie Secure auto-detect | ✅ PASS | `getCookieSecure()` retourne true en production automatiquement. |
| P10 | Track metrics hidden (backend) | ✅ PASS | `track.go:42-43` : PlayCount et LikeCount ont `json:"-"`. |
| P11 | Rust safety | ✅ PASS | Aucun bloc `unsafe` dans `veza-stream-server/src/`. |
| P12 | GDPR export | ✅ PASS | `gdpr_export_handler.go` + tests E2E. |
| P13 | GDPR deletion | ✅ PASS | `account_deletion_handler.go` : anonymisation + hard delete 30j. |
| P14 | Password validation | ✅ PASS | Longueur min, complexité, historique des 5 derniers, max 72 bytes (bcrypt limit). |
| P15 | Rate limiting | ✅ PASS | Middleware rate limit configuré sur les endpoints sensibles. |
| P16 | Security headers | ✅ PASS | HSTS, CSP, X-Frame-Options, COEP/COOP configurés. |
| P17 | Container scanning | ✅ PASS | Trivy scans dans CI/CD (cd.yml, container-scan.yml). |
| P18 | Secret scanning | ✅ PASS | Gitleaks action dans security-scan.yml. |
---
## Méthodologie
### Outils et techniques
- **SAST** : Analyse statique manuelle du code source (Go, Rust, TypeScript)
- **Pattern matching** : Recherche de patterns vulnérables (SQL concat, exec.Command, math/rand, unsafe, etc.)
- **Configuration review** : Analyse des fichiers .env, Docker, CI/CD, CORS
- **Architecture review** : Vérification de l'isolation des services, des contrôles d'accès, du flux de données
- **Dependency analysis** : Revue des actions GitHub, crates Rust, packages npm
- **ORIGIN compliance** : Vérification de la conformité avec les spécifications ORIGIN (éthique, sécurité, business logic)
### Scope couvert
| Composant | Fichiers analysés |
|-----------|------------------|
| Go backend | ~200 fichiers .go |
| Rust stream server | ~15 fichiers .rs |
| React frontend | ~50 composants clés |
| CI/CD | 11 workflows GitHub Actions |
| Docker | 3 Dockerfiles, 3 docker-compose |
| Migrations | 30+ fichiers SQL |
| Configuration | .env.*, configs/ |
---
*Rapport généré le 2026-03-13 — VEZA v0.12.6 Pentest Security Audit*

92
docs/REMEDIATION_MATRIX_v0.12.6.md Normal file
View file

@ -0,0 +1,92 @@
# Matrice de Remédiation — VEZA v0.12.6
**Date** : 2026-03-13
**Référence** : PENTEST_REPORT_VEZA_v0.12.6.md
---
## Priorité de remédiation
Les actions sont classées par **priorité d'implémentation** (combinaison sévérité + facilité de fix + impact business).
---
## Actions Prioritaires (P1 — Avant release v1.0.0)
| ID | Finding | Sévérité | Fichier(s) | Action | Effort | Responsable |
|----|---------|----------|------------|--------|--------|-------------|
| REM-001 | HIGH-001 | HIGH | `handlers/common.go:601-610` | Remplacer `c.GetHeader("X-Forwarded-For")` par `c.ClientIP()` + configurer `SetTrustedProxies()` | 1h | Backend |
| REM-002 | HIGH-002 | HIGH | `user_service.go:75`, `social_service.go:321`, `types/stats.go:31` | Supprimer `followers_count`/`following_count` de `PublicUserResponse` et `SuggestionUser`. Exposer uniquement dans le dashboard privé. | 2h | Backend |
| REM-003 | MEDIUM-001 | MEDIUM | `auth/service.go:156, :986` | Remplacer `bcrypt.DefaultCost` par `bcryptCost` (12) importé depuis `password_service.go` ou une constante partagée | 30min | Backend |
| REM-004 | MEDIUM-004 | MEDIUM | `social/models.go:32` | Ajouter `json:"-"` sur `LikeCount` du modèle `Post` ou créer une DTO publique sans ce champ | 30min | Backend |
**Effort total P1** : ~4h
---
## Actions Recommandées (P2 — Sprint suivant)
| ID | Finding | Sévérité | Fichier(s) | Action | Effort |
|----|---------|----------|------------|--------|--------|
| REM-005 | MEDIUM-002 | MEDIUM | `sast.yml`, `security-scan.yml`, `cd.yml`, `stream-ci.yml`, `container-scan.yml`, `staging-validation.yml` | Épingler les 12+ GitHub Actions par SHA. Configurer Dependabot pour les mises à jour. | 2h |
| REM-006 | MEDIUM-003 | MEDIUM | `.env.production:40` | Renommer en `.env.local` ou `.env.development`. Mettre les valeurs HTTPS par défaut. Ajouter validation au startup. | 1h |
| REM-007 | MEDIUM-005 | MEDIUM | `handlers/dashboard.go:149-150` | Créer `TrackPreviewPublic` (sans métriques) et `TrackPreviewPrivate` (avec métriques). Utiliser le bon type selon le contexte. | 1h |
| REM-008 | LOW-001 | LOW | `config/config.go:138` | Passer `CookieSameSite` de `lax` à `strict` si pas de flow OAuth redirect cross-site | 30min |
| REM-009 | LOW-003 | LOW | `utils/utils.go:57` | Aligner `HashPassword()` sur `bcryptCost = 12` ou la supprimer si non utilisée en prod | 15min |
**Effort total P2** : ~5h
---
## Actions Optionnelles (P3 — Backlog)
| ID | Finding | Sévérité | Fichier(s) | Action | Effort |
|----|---------|----------|------------|--------|--------|
| REM-010 | LOW-002 | LOW | `migrations/*.sql` | Auditer les 30+ CASCADE DELETE. Remplacer par RESTRICT/SET NULL pour orders, payments, subscriptions | 4h |
| REM-011 | INFO-001 | INFO | `veza_back_api_db/` | Ajouter au `.gitignore`, purger de l'historique git avec BFG | 1h |
| REM-012 | INFO-002/003 | INFO | `cmd/tools/hash_gen/main.go`, `cmd/tools/create_test_user/main.go` | Aligner sur bcryptCost 12 | 15min |
| REM-013 | LOW-004 | LOW | `staging-validation.yml:35` | Épingler `docker/setup-buildx-action` par SHA | 10min |
**Effort total P3** : ~5.5h
---
## Résumé par effort
| Priorité | Findings | Effort total |
|----------|----------|--------------|
| P1 (Bloquant v1.0.0) | 4 | ~4h |
| P2 (Sprint suivant) | 5 | ~5h |
| P3 (Backlog) | 4 | ~5.5h |
| **Total** | **13** | **~14.5h** |
---
## Workflow de remédiation
```
1. REM-001 (IP spoofing fix) → Test: vérifier rate limit avec X-Forwarded-For forgé
2. REM-002 (followers_count) → Test: vérifier que /api/v1/users/:id ne retourne plus followers_count
3. REM-003 (bcrypt cost) → Test: vérifier que le hash créé a un cost de 12
4. REM-004 (Post like_count) → Test: vérifier que les posts API n'exposent pas like_count
5. REM-005 (GitHub Actions SHA) → Test: vérifier que tous les `uses:` contiennent un SHA
6. REM-006 (.env.production) → Test: vérifier que le startup refuse HTTP origins en production
```
---
## Métriques de suivi
| Métrique | Valeur actuelle | Cible v1.0.0 |
|----------|----------------|---------------|
| Findings CRITICAL | 0 | 0 |
| Findings HIGH | 2 | 0 |
| Findings MEDIUM | 5 | 0 |
| Findings LOW | 4 | ≤ 2 |
| Actions pinned by SHA | ~60% | 100% |
| bcrypt cost consistency | 2 valeurs (10, 12) | 1 valeur (12) |
| Public popularity metrics | 3 endpoints | 0 endpoints |
---
*Matrice générée le 2026-03-13 — VEZA v0.12.6*