دفترچه امنیتی.
ما یافتهها را پس از اصلاح و تأیید منتشر میکنیم — یک خلاصهی کوتاه، هرگز یک دستورِ اکسپلویت. زمانهای اصلاح کنار هر ورودی قرار دارند.
چه اتفاقی افتاده.
بازبینی داخلی پیش از راهاندازی برنامه
در ۱۵ ژوئیهٔ ۲۰۲۶ یک بازبینی امنیتی داخلی از CreateYourVPN را آغاز کردیم. اصلاحاتی که تکمیل و دوباره بررسی کردهایم در ادامه منتشر شدهاند؛ موارد دیگر نیز بهتدریج با استقرار و تأیید افزوده خواهند شد.
— تیم CreateYourVPNافزودن سازوکار محافظتی در برابر پیکربندی ناامن cross-origin
پیکربندی فعلی production مبداهای دلخواه را مجاز نمیکرد، اما کد در صورت پیکربندی نادرست توسط اپراتور، ترکیبی خطرناک از پارامترها را مجاز میساخت. اکنون این ترکیب هنگام راهاندازی رد میشود و یک آزمون خودکار آن را پوشش میدهد.
— تیم CreateYourVPNکاهش سطح عمومیِ production API
مستندات فنی تعاملی API بدون احراز هویت در دسترس بود. این کار دسترسی به دادههای محافظتشده را نمیداد، اما مطالعهٔ ساختار داخلی API را آسانتر میکرد. در production این مستندات اکنون غیرفعال شده، در حالی که برای توسعه در یک محیط ایزوله در دسترس باقی میماند.
— تیم CreateYourVPNجداسازی کلیدهای رمزنگاری پلتفرم بر پایهٔ کاربرد
یک بازبینی داخلی نشان داد که یک راز واحد برای دو کار رمزنگاریِ متفاوت استفاده میشد. این کار دور زدنِ مستقیمِ حفاظت ایجاد نمیکرد، اما دامنهٔ پیامدهای افشای کلید را گسترش میداد. دو کاربرد از هم جدا شدهاند و اکنون هرکدام بهطور مستقل چرخش (rotate) میشوند.
— تیم CreateYourVPNتضمین پاکسازی کلید مدیریت پس از حذف سرور
پاکسازی کلید مدیریتِ رمزگذاریشده پس از عملیات شبکهایِ پسزمینه اجرا میشد و در صورت شکست آن عملیات ممکن بود تکرار نشود. ما پاکسازی کلید را از زنجیرهٔ شبکه جدا کردیم و یک تلاش مجددِ تضمینشده افزودیم. سناریوهای سرورِ در دسترسنبودن و قطعشدن فرآیند با آزمونها پوشش داده شدهاند.
— تیم CreateYourVPNحذف یک مسیر احراز هویتِ بلااستفاده در API شرکا
این API از یک مسیر احراز هویتِ اضافیِ مبتنی بر cookie پشتیبانی میکرد که معماری فعلیِ server-side به آن نیازی نداشت. هیچ حملهٔ بینسایتیِ تأییدشدهای در production یافت نشد، اما مسیر اضافی، سطح خطاهای آینده را گسترش میداد. اکنون API از یک روش احراز هویتِ واحد و بهصراحت تعریفشده استفاده میکند و با آزمونهای منفی پوشش داده شده است.
— تیم CreateYourVPNچه چیزی اینجا میآید.
خلاصهها و خطهایزمانی
چکیدهی یک یافته، ردهی آسیبپذیری، تاریخ گزارش و تاریخ اصلاح. اگر یک یافته یک ادعای SR را رد کرده باشد — یک اصلاحیهی عمومی بر گزارش.
دستورهای اکسپلویت
دستورالعملهای گامبهگام، کد PoC و جزئیاتی که پیش از بهروزرسانیِ همه، به حمله به سرورهای دیگر کمک میکنند.
چیزی پیدا کردید؟
با یک اثبات مفهومِ قابلبازتولید برای ما بنویسید. ظرف ۷۲ ساعت پاسخ میدهیم و دستهبندی را بهصورت داخلی انجام میدهیم.