Jurnal keselamatan.
Kami menerbitkan penemuan selepas ia dibetulkan dan disahkan — ringkasan pendek, tidak pernah resipi eksploitasi. Masa pembetulan berada di sebelah setiap entri.
Apa yang telah berlaku.
Semakan dalaman sebelum pelancaran program
Pada 15 Julai 2026 kami memulakan semakan keselamatan dalaman CreateYourVPN. Pembetulan yang telah kami siapkan dan sahkan semula diterbitkan di bawah; lebih banyak akan menyusul apabila ia digunakan dan disahkan.
— Pasukan CreateYourVPNDitambah pelindung terhadap konfigurasi cross-origin yang tidak selamat
Konfigurasi production semasa tidak membenarkan origin sewenang-wenangnya, tetapi kod itu membenarkan gabungan parameter yang berbahaya jika seseorang operator tersalah konfigurasi. Gabungan itu kini ditolak semasa permulaan dan diliputi oleh ujian automatik.
— Pasukan CreateYourVPNMengurangkan permukaan awam production API
Dokumentasi teknikal interaktif API boleh dicapai tanpa pengesahan. Ia tidak memberi akses kepada data terlindung, tetapi memudahkan pengkajian struktur dalaman API. Dalam production, dokumentasi kini dilumpuhkan, sambil kekal tersedia dalam persekitaran terpencil untuk pembangunan.
— Pasukan CreateYourVPNKunci kriptografi platform dipisahkan mengikut tujuan
Satu semakan dalaman mendapati bahawa satu rahsia digunakan untuk dua tugas kriptografi yang berbeza. Ini tidak mewujudkan pintasan langsung, tetapi meluaskan kesan sekiranya kunci terjejas. Kedua-dua tujuan telah dipisahkan dan setiap satu kini diputar secara bebas.
— Pasukan CreateYourVPNTerjamin pembersihan kunci pengurusan selepas pemadaman pelayan
Pembersihan kunci pengurusan tersulit dijalankan selepas operasi rangkaian di latar belakang dan mungkin gagal berulang jika operasi itu gagal. Kami mengasingkan pembersihan kunci daripada lata rangkaian dan menambah percubaan semula yang terjamin. Senario pelayan tidak boleh dicapai dan proses terganggu diliputi oleh ujian.
— Pasukan CreateYourVPNMembuang laluan kebenaran API rakan kongsi yang tidak digunakan
API menyokong satu laluan kebenaran tambahan berasaskan cookie yang tidak diperlukan oleh seni bina server-side semasa. Tiada serangan rentas tapak ditemui dalam production, tetapi laluan tambahan itu meluaskan permukaan bagi kesilapan pada masa hadapan. API kini menggunakan satu kaedah kebenaran yang ditakrifkan secara jelas, diliputi oleh ujian negatif.
— Pasukan CreateYourVPNApa yang masuk ke sini.
Ringkasan dan garis masa
Inti sesuatu penemuan, kelas kerentanannya, tarikh laporan dan tarikh pembetulan. Jika sesuatu penemuan menyangkal dakwaan SR — pembetulan awam terhadap laporan.
Resipi eksploitasi
Arahan langkah demi langkah, kod PoC, dan butiran yang akan membantu menyerang server lain sebelum semua orang mengemas kini.
Menemui sesuatu?
Tulislah kepada kami dengan bukti konsep yang boleh dihasilkan semula. Kami membalas dalam masa 72 jam dan mengendalikan triaj secara dalaman.