food-market

nns/food-market

Fork 0

Commit graph

Author	SHA1	Message	Date
nns	2bbd078659	docs(s23): итог — 4 bugs found, 4 fixed, all retested ✓ Some checks are pending Auto-tag / Create date-tag (push) Waiting to run Details Severity breakdown: - CRITICAL: 1 (race → 500 instead of 409) - Medium: 1 (NUL byte → 500) - Low: 2 (validator length mismatch, tiny price rounded to 0) Retest на stage: 4/4 fix verified, stock invariant holds (20 parallel sales → 6 ok + 14 conflict-409 + 0 500), smoke 5/5, catalog 6/6. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-06-08 01:42:28 +05:00
nns	284ad095c1	fix(s23): adversarial bug-hunt — 4 bugs found, all fixed Some checks are pending Auto-tag / Create date-tag (push) Waiting to run Details CI / Backend (.NET 8) (push) Waiting to run Details CI / Web (React + Vite) (push) Waiting to run Details CI / POS (WPF, Windows) (push) Waiting to run Details Docker API / Build + push API (push) Waiting to run Details Docker API / Deploy API on stage (push) Blocked by required conditions Details Sprint 23 (adversarial): атаковали систему как недоброжелатель. Найдено 4 бага, все починены. Bug #001 (Medium): NULL-byte в Product.Name вызывал 500 без тела. Postgres TEXT не принимает \x00. Добавил NoControlChars() в ProductInputValidator + CounterpartyInputValidator. Bug #002 (Low): ProductInputValidator MaximumLength(200) конфликтовал со StringLength(500) в DTO и schema HasMaxLength(500). Сделал 500 везде. Counterparty: 200 → 255 (matches HasMaxLength). Bug #003 (CRITICAL): параллельные posting'и под Serializable выбрасывали PostgresException 40001 → middleware → 500 empty body. Добавил SerializationConflictMiddleware который мапит 40001 → 409 Conflict с {error, retryable: true}. Также SerializableRetry helper для явного retry внутри endpoint'ов с exp backoff. Применил retry-wrap к RetailSalesController.Post (PostCoreAsync extracted). Bug #004 (Low): цена 0.0000001 округлялась до 0 уже после прохождения required-price check (check был ДО RoundIfNeeded). FindMissing- RequiredPriceAsync теперь округляет перед сравнением — required цена реально > 0 после rounding. Bug reports: tests/e2e/reports/bugs/bug-00[1-4]-*.md (github-issue format). Multi-tenant attacks (cat 3): clean — все cross-org GET/PUT/DELETE дают 404, bulk-update affected=0, lists не утекают. Auth-edge (cat 2): clean — JWT tampering 401, garbage 401, CORS evil.com не получает allow-origin, fake refresh 400 invalid_grant. DOS (cat 7): clean — 50MB body 413, 200 headers 431, long URL 200. Hangfire safety (cat 8): clean — regular Admin → /hangfire 403, seed-demo использует tenant context, body org-id игнорируется. Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>	2026-06-08 01:35:50 +05:00

Author

SHA1

Message

Date

nns

2bbd078659

docs(s23): итог — 4 bugs found, 4 fixed, all retested ✓

Auto-tag / Create date-tag (push) Waiting to run

Details

Severity breakdown:
- CRITICAL: 1 (race → 500 instead of 409)
- Medium: 1 (NUL byte → 500)
- Low: 2 (validator length mismatch, tiny price rounded to 0)

Retest на stage: 4/4 fix verified, stock invariant holds (20 parallel
sales → 6 ok + 14 conflict-409 + 0 500), smoke 5/5, catalog 6/6.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-08 01:42:28 +05:00

nns

284ad095c1

fix(s23): adversarial bug-hunt — 4 bugs found, all fixed

Auto-tag / Create date-tag (push) Waiting to run

Details

CI / Backend (.NET 8) (push) Waiting to run

Details

CI / Web (React + Vite) (push) Waiting to run

Details

CI / POS (WPF, Windows) (push) Waiting to run

Details

Docker API / Build + push API (push) Waiting to run

Details

Docker API / Deploy API on stage (push) Blocked by required conditions

Details

Sprint 23 (adversarial): атаковали систему как недоброжелатель.
Найдено 4 бага, все починены.

Bug #001 (Medium): NULL-byte в Product.Name вызывал 500 без тела.
  Postgres TEXT не принимает \x00. Добавил NoControlChars() в
  ProductInputValidator + CounterpartyInputValidator.

Bug #002 (Low): ProductInputValidator MaximumLength(200) конфликтовал
  со StringLength(500) в DTO и schema HasMaxLength(500). Сделал 500
  везде. Counterparty: 200 → 255 (matches HasMaxLength).

Bug #003 (CRITICAL): параллельные posting'и под Serializable выбрасывали
  PostgresException 40001 → middleware → 500 empty body. Добавил
  SerializationConflictMiddleware который мапит 40001 → 409 Conflict
  с {error, retryable: true}. Также SerializableRetry helper для
  явного retry внутри endpoint'ов с exp backoff. Применил retry-wrap
  к RetailSalesController.Post (PostCoreAsync extracted).

Bug #004 (Low): цена 0.0000001 округлялась до 0 уже после прохождения
  required-price check (check был ДО RoundIfNeeded). FindMissing-
  RequiredPriceAsync теперь округляет перед сравнением — required
  цена реально > 0 после rounding.

Bug reports: tests/e2e/reports/bugs/bug-00[1-4]-*.md (github-issue format).

Multi-tenant attacks (cat 3): clean — все cross-org GET/PUT/DELETE
дают 404, bulk-update affected=0, lists не утекают.
Auth-edge (cat 2): clean — JWT tampering 401, garbage 401, CORS evil.com
не получает allow-origin, fake refresh 400 invalid_grant.
DOS (cat 7): clean — 50MB body 413, 200 headers 431, long URL 200.
Hangfire safety (cat 8): clean — regular Admin → /hangfire 403,
  seed-demo использует tenant context, body org-id игнорируется.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

2026-06-08 01:35:50 +05:00

2 commits