บันทึกความปลอดภัย

บันทึกความปลอดภัย

เราเผยแพร่สิ่งที่ค้นพบหลังจากที่มันถูกแก้ไขและตรวจสอบแล้ว — สรุปโดยย่อ ไม่ใช่สูตรการเจาะ (exploit) ระยะเวลาการแก้ไขอยู่ข้างแต่ละรายการ

รายการ

เกิดอะไรขึ้นบ้าง

15 กรกฎาคม 2569

การตรวจทานภายในก่อนเปิดตัวโครงการ

เมื่อวันที่ 15 กรกฎาคม 2026 เราได้เริ่มการตรวจสอบความปลอดภัยภายในของ CreateYourVPN การแก้ไขที่เราทำเสร็จและตรวจสอบซ้ำแล้วได้เผยแพร่ไว้ด้านล่าง ส่วนที่เหลือจะทยอยตามมาเมื่อมีการปรับใช้และยืนยันแล้ว

ทีม CreateYourVPN
15 กรกฎาคม 2569

เพิ่มการป้องกันการตั้งค่า cross-origin ที่ไม่ปลอดภัย

การตั้งค่า production ปัจจุบันไม่อนุญาต origin ตามอำเภอใจ แต่โค้ดยอมให้เกิดการรวมพารามิเตอร์ที่อันตรายได้หากผู้ดูแลตั้งค่าผิดพลาด ขณะนี้การรวมดังกล่าวจะถูกปฏิเสธตอนเริ่มทำงานและครอบคลุมด้วยการทดสอบอัตโนมัติ

ทีม CreateYourVPN
15 กรกฎาคม 2569

ลดพื้นผิวสาธารณะของ production API

เอกสารทางเทคนิคแบบโต้ตอบของ API สามารถเข้าถึงได้โดยไม่ต้องยืนยันตัวตน สิ่งนี้ไม่ได้ให้สิทธิ์เข้าถึงข้อมูลที่ได้รับการป้องกัน แต่ทำให้การศึกษาโครงสร้างภายในของ API ง่ายขึ้น ใน production เอกสารนี้ถูกปิดใช้งานแล้ว โดยยังคงพร้อมใช้งานในสภาพแวดล้อมที่แยกไว้สำหรับการพัฒนา

ทีม CreateYourVPN
15 กรกฎาคม 2569

แยกกุญแจการเข้ารหัสของแพลตฟอร์มตามวัตถุประสงค์

การตรวจสอบภายในพบว่ามีการใช้ความลับเดียวกันสำหรับงานเข้ารหัสสองงานที่แตกต่างกัน สิ่งนี้ไม่ได้ก่อให้เกิดการข้ามการป้องกันโดยตรง แต่ขยายผลกระทบหากกุญแจถูกบุกรุก วัตถุประสงค์ทั้งสองได้ถูกแยกออกจากกัน และแต่ละอย่างจะหมุนเวียนอย่างอิสระแล้ว

ทีม CreateYourVPN
15 กรกฎาคม 2569

รับประกันการล้างกุญแจการจัดการหลังการลบเซิร์ฟเวอร์

การล้างกุญแจการจัดการที่เข้ารหัสไว้ทำงานหลังการดำเนินการเครือข่ายเบื้องหลัง และอาจไม่ทำซ้ำหากการดำเนินการเหล่านั้นล้มเหลว เราได้แยกการล้างกุญแจออกจากลำดับการทำงานของเครือข่าย และเพิ่มการลองใหม่ที่รับประกันได้ สถานการณ์เซิร์ฟเวอร์ที่เข้าถึงไม่ได้และกระบวนการที่ถูกขัดจังหวะครอบคลุมด้วยการทดสอบ

ทีม CreateYourVPN
15 กรกฎาคม 2569

ลบเส้นทางการอนุญาตของ API พาร์ตเนอร์ที่ไม่ได้ใช้งาน

API รองรับเส้นทางการอนุญาตเพิ่มเติมที่อิงกับ cookie ซึ่งสถาปัตยกรรม server-side ปัจจุบันไม่จำเป็นต้องใช้ ไม่พบการโจมตีข้ามไซต์ใน production แต่เส้นทางส่วนเกินนี้ขยายพื้นผิวของความผิดพลาดในอนาคต ขณะนี้ API ใช้วิธีการอนุญาตเพียงวิธีเดียวที่กำหนดไว้อย่างชัดเจน และครอบคลุมด้วยการทดสอบเชิงลบ

ทีม CreateYourVPN
วิธีอ่านบันทึก

อะไรที่อยู่ในนี้

เราเผยแพร่

สรุปและไทม์ไลน์

ใจความสำคัญของสิ่งที่ค้นพบ, ประเภทช่องโหว่, วันที่รายงานและวันที่แก้ไข หากสิ่งที่ค้นพบหักล้างข้อกล่าวอ้าง SR — การแก้ไขรายงานต่อสาธารณะ

เราไม่เผยแพร่

สูตรการเจาะ (exploit)

คำแนะนำทีละขั้นตอน, โค้ด PoC และรายละเอียดที่จะช่วยโจมตีเซิร์ฟเวอร์อื่นก่อนที่ทุกคนจะอัปเดต

เจออะไรบางอย่างไหม?

เขียนหาเราพร้อม proof of concept ที่ทำซ้ำได้ เราตอบกลับภายใน 72 ชั่วโมงและคัดกรองภายในองค์กร

security@createyourvpn.com/.well-known/security.txt · เงียบ 90 วัน · safe harbor