maxim.dolgolyov/Learn_System
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

fix(security): закрыть IDOR курсов/уроков/назначений/раздачи (Спринт1 #1)

Browse Source 
- courses: requireOwnership(created_by) на PUT/DELETE/duplicate/publish-all
  и все мутации секций — учитель больше не может править/удалять чужой курс.
- lessonController.create: проверка владения курсом перед вставкой урока.
- assign/unassign курса классу: проверка владения классом (_ownsClass).
- materials.share по userId: получатель должен быть учеником учителя
  (класс или teacher_students), иначе 403.

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>
This commit is contained in:
Maxim Dolgolyov
2026-06-12 21:52:56 +03:00
parent 5d3db90b5d
commit 840bb823b9
4 changed files with 35 additions and 11 deletions
Download Patch File Download Diff File Expand all files Collapse all files
backend/src/controllers/lessonController.js
+4 -2
View File
@@ -95,8 +95,10 @@ function create(req, res) {
const { courseId, title, orderIndex, sectionId } = req.body;
if (!courseId || !title)
return res.status(400).json({ error: 'courseId and title required' });
if (!db.prepare('SELECT id FROM courses WHERE id = ?').get(courseId))
return res.status(404).json({ error: 'Course not found' });
const course = db.prepare('SELECT id, created_by FROM courses WHERE id = ?').get(courseId);
if (!course) return res.status(404).json({ error: 'Course not found' });
if (req.user.role !== 'admin' && course.created_by !== req.user.id)
return res.status(403).json({ error: 'Forbidden' });
const r = db.prepare(
'INSERT INTO lessons (course_id, title, order_index, section_id) VALUES (?, ?, ?, ?)'