Biztonsági napló.
A megállapításokat azután tesszük közzé, hogy javítottuk és ellenőriztük őket — rövid összefoglaló, soha nem exploit-recept. A javítási idők minden bejegyzés mellett szerepelnek.
Mi történt eddig.
Belső felülvizsgálat a program indítása előtt
2026. július 15-én belső biztonsági felülvizsgálatot indítottunk a CreateYourVPN-en. A befejezett és újraellenőrzött javításokat alább közöljük; továbbiak követik majd, ahogy bevezetjük és megerősítjük őket.
— CreateYourVPN csapatVédelmi korlát bevezetve a nem biztonságos cross-origin konfiguráció ellen
A jelenlegi production konfiguráció nem engedélyezett tetszőleges origineket, a kód azonban lehetővé tett egy veszélyes paraméter-kombinációt, ha egy üzemeltető rosszul állította be. Ezt a kombinációt mostantól indításkor elutasítjuk, és automatizált teszt fedi le.
— CreateYourVPN csapatCsökkentettük a production API nyilvános felületét
Az API interaktív műszaki dokumentációja hitelesítés nélkül elérhető volt. Nem adott hozzáférést védett adatokhoz, de megkönnyítette az API belső felépítésének tanulmányozását. Production környezetben a dokumentáció mostantól ki van kapcsolva, miközben fejlesztéshez egy elszigetelt környezetben továbbra is elérhető marad.
— CreateYourVPN csapatA platform kriptográfiai kulcsai cél szerint szétválasztva
Egy belső felülvizsgálat feltárta, hogy egyetlen titkot két különböző kriptográfiai feladatra használtak. Ez nem hozott létre közvetlen megkerülést, de kiszélesítette egy kulcs kompromittálódásának hatókörét. A két célt szétválasztottuk, és mindegyik önállóan rotálódik.
— CreateYourVPN csapatGarantált a felügyeleti kulcs törlése a szerver törlése után
A titkosított felügyeleti kulcs törlése a háttérben zajló hálózati műveletek után futott, és azok meghiúsulása esetén elmaradhatott az ismétlés. A kulcstörlést leválasztottuk a hálózati kaszkádról, és garantált újrapróbálkozást adtunk hozzá. Az elérhetetlen szerver és a megszakadt folyamat forgatókönyveit tesztek fedik le.
— CreateYourVPN csapatEltávolítottunk egy nem használt partneri API-engedélyezési útvonalat
Az API támogatott egy további, cookie-alapú engedélyezési útvonalat, amelyre a jelenlegi server-side architektúrának nem volt szüksége. Production környezetben nem találtunk cross-site támadást, de a plusz útvonal kiszélesítette a jövőbeli hibák felületét. Az API mostantól egyetlen, kifejezetten meghatározott engedélyezési módszert használ, amelyet negatív tesztek fednek le.
— CreateYourVPN csapatMi kerül ide.
Összefoglalók és idővonalak
Egy megállapítás lényege, a sebezhetőség osztálya, a bejelentés dátuma és a javítás dátuma. Ha egy megállapítás megcáfolt egy SR-állítást — nyilvános helyesbítés a jelentéshez.
Exploit-receptek
Lépésről lépésre útmutatók, PoC-kód és részletek, amelyek segítenének más szerverek megtámadásában, mielőtt mindenki frissít.
Találtál valamit?
Írj nekünk egy reprodukálható proof of concepttel. 72 órán belül válaszolunk, a triage-t házon belül végezzük.