Sicherheit: Rate-Limiting auf Server-API #75

New issue

Closed

opened 2026-05-16 23:42:29 +00:00 by jreinemann-euris · 0 comments

jreinemann-euris commented 2026-05-16 23:42:29 +00:00 (Migrated from github.com)

Copy link

Bestandsaufnahme

Der Ktor-Server hat aktuell kein Rate-Limiting auf API-Endpoints.

Exponierte Angriffsflächen

• POST /api/auth/login: Brute-Force auf Passwörter möglich – kein Schutz gegen automatisierte Login-Versuche
• POST /api/messages: Spam-Nachrichten an andere User ohne Limit
• PUT /api/inventory: Wiederholte Full-Syncs könnten Server-Ressourcen binden
• POST /api/admin/users: Admin-Endpoint ohne Request-Begrenzung

Risiken

• Brute-Force-Angriff auf User-Passwörter (besonders bei schwachen Passwörtern)
• Denial-of-Service durch Request-Flooding (1-CPU/1GB-VPS ist ressourcenlimitiert)
• Message-Spam zwischen Usern
• Kein Account-Lockout nach fehlgeschlagenen Login-Versuchen

Betroffene Stellen

• Server Routing: alle Endpoints in Routing.kt
• Auth-Konfiguration in Authentication.kt
• Ktor-Pipeline (Plugin-Ebene)

Zu klären

• Welche Endpoints brauchen Rate-Limiting? (Login sicher, andere?)
• Rate-Limits pro IP, pro User, oder beides?
• Ktor-Plugin verfügbar oder eigene Middleware?
• Account-Lockout nach N fehlgeschlagenen Logins?

## Bestandsaufnahme Der Ktor-Server hat aktuell **kein Rate-Limiting** auf API-Endpoints. ### Exponierte Angriffsflächen - **`POST /api/auth/login`**: Brute-Force auf Passwörter möglich – kein Schutz gegen automatisierte Login-Versuche - **`POST /api/messages`**: Spam-Nachrichten an andere User ohne Limit - **`PUT /api/inventory`**: Wiederholte Full-Syncs könnten Server-Ressourcen binden - **`POST /api/admin/users`**: Admin-Endpoint ohne Request-Begrenzung ### Risiken - Brute-Force-Angriff auf User-Passwörter (besonders bei schwachen Passwörtern) - Denial-of-Service durch Request-Flooding (1-CPU/1GB-VPS ist ressourcenlimitiert) - Message-Spam zwischen Usern - Kein Account-Lockout nach fehlgeschlagenen Login-Versuchen ### Betroffene Stellen - Server Routing: alle Endpoints in `Routing.kt` - Auth-Konfiguration in `Authentication.kt` - Ktor-Pipeline (Plugin-Ebene) ### Zu klären - Welche Endpoints brauchen Rate-Limiting? (Login sicher, andere?) - Rate-Limits pro IP, pro User, oder beides? - Ktor-Plugin verfügbar oder eigene Middleware? - Account-Lockout nach N fehlgeschlagenen Logins?

Sign in to join this conversation.

No Branch/Tag specified

Branches Tags

main

No results found.

Labels

Clear labels   

block-planning

  

bug

Something isn't working

  

documentation

Improvements or additions to documentation

  

duplicate

This issue or pull request already exists

  

enhancement

New feature or request

  

feature

  

good first issue

Good for newcomers

  

help wanted

Extra attention is needed

  

infrastructure

  

invalid

This doesn't seem right

  

planning

  

priority:high

  

priority:low

  

question

Further information is requested

  

refactoring

  

status:backlog

Im Backlog

  

status:done

Abgeschlossen

  

status:in-progress

Aktuell in Bearbeitung

  

status:todo

Naechstes Todo-Ticket

  

tech-decision

  

test

  

wontfix

This will not be worked on

No labels

block-planning

bug

documentation

duplicate

enhancement

feature

good first issue

help wanted

infrastructure

invalid

planning

priority:high

priority:low

question

refactoring

status:backlog

status:done

status:in-progress

status:todo

tech-decision

test

wontfix

Milestone

Clear milestone

No items

No milestone

Projects

Clear projects

No items

No project

Assignees

Clear assignees

No assignees

1 participant

Notifications

Subscribe

Due date

The due date is invalid or out of range. Please use the format "yyyy-mm-dd".

No due date set.

Dependencies

No dependencies set.

Reference: bollwerkadmin/bollwerk#75

No description provided.