دفترچه امنیتی

دفترچه امنیتی.

ما یافته‌ها را پس از اصلاح و تأیید منتشر می‌کنیم — یک خلاصه‌ی کوتاه، هرگز یک دستورِ اکسپلویت. زمان‌های اصلاح کنار هر ورودی قرار دارند.

ورودی‌ها

چه اتفاقی افتاده.

۲۴ تیر ۱۴۰۵

بازبینی داخلی پیش از راه‌اندازی برنامه

در ۱۵ ژوئیهٔ ۲۰۲۶ یک بازبینی امنیتی داخلی از CreateYourVPN را آغاز کردیم. اصلاحاتی که تکمیل و دوباره بررسی کرده‌ایم در ادامه منتشر شده‌اند؛ موارد دیگر نیز به‌تدریج با استقرار و تأیید افزوده خواهند شد.

تیم CreateYourVPN
۲۴ تیر ۱۴۰۵

افزودن سازوکار محافظتی در برابر پیکربندی ناامن cross-origin

پیکربندی فعلی production مبداهای دلخواه را مجاز نمی‌کرد، اما کد در صورت پیکربندی نادرست توسط اپراتور، ترکیبی خطرناک از پارامترها را مجاز می‌ساخت. اکنون این ترکیب هنگام راه‌اندازی رد می‌شود و یک آزمون خودکار آن را پوشش می‌دهد.

تیم CreateYourVPN
۲۴ تیر ۱۴۰۵

کاهش سطح عمومیِ production API

مستندات فنی تعاملی API بدون احراز هویت در دسترس بود. این کار دسترسی به داده‌های محافظت‌شده را نمی‌داد، اما مطالعهٔ ساختار داخلی API را آسان‌تر می‌کرد. در production این مستندات اکنون غیرفعال شده، در حالی که برای توسعه در یک محیط ایزوله در دسترس باقی می‌ماند.

تیم CreateYourVPN
۲۴ تیر ۱۴۰۵

جداسازی کلیدهای رمزنگاری پلتفرم بر پایهٔ کاربرد

یک بازبینی داخلی نشان داد که یک راز واحد برای دو کار رمزنگاریِ متفاوت استفاده می‌شد. این کار دور زدنِ مستقیمِ حفاظت ایجاد نمی‌کرد، اما دامنهٔ پیامدهای افشای کلید را گسترش می‌داد. دو کاربرد از هم جدا شده‌اند و اکنون هرکدام به‌طور مستقل چرخش (rotate) می‌شوند.

تیم CreateYourVPN
۲۴ تیر ۱۴۰۵

تضمین پاک‌سازی کلید مدیریت پس از حذف سرور

پاک‌سازی کلید مدیریتِ رمزگذاری‌شده پس از عملیات شبکه‌ایِ پس‌زمینه اجرا می‌شد و در صورت شکست آن عملیات ممکن بود تکرار نشود. ما پاک‌سازی کلید را از زنجیرهٔ شبکه جدا کردیم و یک تلاش مجددِ تضمین‌شده افزودیم. سناریوهای سرورِ در دسترس‌نبودن و قطع‌شدن فرآیند با آزمون‌ها پوشش داده شده‌اند.

تیم CreateYourVPN
۲۴ تیر ۱۴۰۵

حذف یک مسیر احراز هویتِ بلااستفاده در API شرکا

این API از یک مسیر احراز هویتِ اضافیِ مبتنی بر cookie پشتیبانی می‌کرد که معماری فعلیِ server-side به آن نیازی نداشت. هیچ حملهٔ بین‌سایتیِ تأییدشده‌ای در production یافت نشد، اما مسیر اضافی، سطح خطاهای آینده را گسترش می‌داد. اکنون API از یک روش احراز هویتِ واحد و به‌صراحت تعریف‌شده استفاده می‌کند و با آزمون‌های منفی پوشش داده شده است.

تیم CreateYourVPN
چگونه دفترچه را بخوانیم

چه چیزی اینجا می‌آید.

منتشر می‌کنیم

خلاصه‌ها و خط‌های‌زمانی

چکیده‌ی یک یافته، رده‌ی آسیب‌پذیری، تاریخ گزارش و تاریخ اصلاح. اگر یک یافته یک ادعای SR را رد کرده باشد — یک اصلاحیه‌ی عمومی بر گزارش.

منتشر نمی‌کنیم

دستورهای اکسپلویت

دستورالعمل‌های گام‌به‌گام، کد PoC و جزئیاتی که پیش از به‌روزرسانیِ همه، به حمله به سرورهای دیگر کمک می‌کنند.

چیزی پیدا کردید؟

با یک اثبات مفهومِ قابل‌بازتولید برای ما بنویسید. ظرف ۷۲ ساعت پاسخ می‌دهیم و دسته‌بندی را به‌صورت داخلی انجام می‌دهیم.

security@createyourvpn.com/.well-known/security.txt · ۹۰ روز سکوت · بندر امن