SECURE INTERFACE // NORYX SYSTEM
Комплексный системный аудит исходного кода, внутренней архитектуры, панелей администрирования и сетевой инфраструктуры.
В процессе статического и динамического анализа кода FastAPI обнаружены серьезные архитектурные уязвимости, требующие немедленного вмешательства.
Маршрут /api/auth/bind-email не запрашивает и не проверяет одноразовый OTP код.
Атакующий имеет возможность подменить email в HTTP-запросе, тем самым скомпрометировав подписку и безвозвратно удалив аккаунт легитимного клиента.
Эндпоинт /api/telegram/webhook полностью доверяет значению from.id из сырого тела запроса. Путем несложной манипуляции заголовками злоумышленник может эмулировать действия администратора в Telegram-боте.
Панель управления скрыта на стороне фронтенда лишь базовым правилом display:none.
Все функции взаимодействия, структура баз данных и конфигуратор секретов окружения .env свободно доступны для изучения в исходном коде страницы.
Одноразовые пароли (сброс почты, регистрация) не имеют времени жизни и счетчика попыток ввода. Это позволяет злоумышленнику подобрать 6-значный код брутфорс-атакой без каких-либо блокировок со стороны API сервера.
Обнаружена потенциальная утечка прямого пути к интерфейсу администрирования.
Использование доменного имени в национальной зоне .ru несет в себе критические риски безопасности проекта:
Для удобного, быстрого и защищенного управления конфигурацией клиентов и тарифов настоятельно рекомендуется установка и использование внешнего интерфейса.
Проблема открытости технических сетевых портов и отсутствия фильтрации пакетов фиксируется на всех работающих нодах проекта.
Для бесперебойной работы VLESS/Xray в условиях работы систем глубокого анализа пакетов провайдеров (ТСПУ) требуется минимизировать следы серверов.
google.com.