Bug2Lab — Прикрепление файла к чужому приватному репорту

Прикрепление файла к чужому приватному отчету / чату

Любой авторизованный пользователь может загрузить файл и «приклеить» его к любому чужому репорту, в том числе приватному или во внутреннем чате. Интерфейс будет показывать этот файл как будто его загрузил владелец репорта, не злоумышленник. Это удар по доверию и приватности.

Как выглядит атака

Злоумышленник:
1. Логинится как обычный пользователь.
2. Делает запрос «загрузи файл».
3. Указывает ID чужого репорта/комментария.

Файл появляется в приватном репорте жертвы так, будто это она его приложила.

POST /api/bug-bounty/bizone-files/ HTTP/1.1 Authorization: Basic ... Content-Type: multipart/form-data; boundary=...

--boundary Content-Disposition: form-data; name="file"; filename="THIS_PLATFORM_HACKED.jpg" Content-Type: image/jpeg [binary data] --boundary-- HTTP/1.1 201 Created { "id":530, "name":"THIS_PLATFORM_HACKED.jpg", "file":"https://.../THIS_PLATFORM_HACKED.jpg?...", "permissionRules":{ "uploadImage":true, "add":true, "view":true, "list":true } }

Почему это стало возможным

Сервер не проверяет, что репорт принадлежит текущему пользователю. Он просто верит переданным ID, а ID короткие и легко перебираются.

Проблемный код (упрощённо)
@PostMapping("/attachFile")
public ResponseEntity<?> attach(@RequestParam("reportId") Long reportId,
                               @RequestParam("fileId") Long fileId,
                               Principal me){
    Report r = reportRepo.findById(reportId); // ❌ без проверки владельца
    File f = fileRepo.findById(fileId);       // ❌ без проверки кто загрузил
    r.attach(f); // ✅ для кода, ❌ для безопасности
    reportRepo.save(r);
    return ResponseEntity.ok("ok");
}

Как это чинится правильно

1) Проверяем, что текущий пользователь — владелец репорта И владелец файла.
2) Не позволяем указывать чужие ID напрямую.
3) Логируем, кто реально прикрепил файл, и показываем это в UI.

Исправленный паттерн
@PostMapping("/attachFile")
public ResponseEntity<?> attach(@RequestParam("reportId") Long reportId,
                               @RequestParam("fileId") Long fileId,
                               Principal me){
    Report r = reportRepo.findById(reportId);
    if(!r.getAuthorId().equals(me.getName())){
        return ResponseEntity.status(HttpStatus.FORBIDDEN).build(); // ✅ проверка владельца
    }
    File f = fileRepo.findById(fileId);
    if(!f.getUploaderId().equals(me.getName())){
        return ResponseEntity.status(HttpStatus.FORBIDDEN).build(); // ✅ нельзя прикрепить чужой файл
    }
    r.attachWithAudit(f, me.getName(), Instant.now()); // audit trail
    reportRepo.save(r);
    return ResponseEntity.ok("ok");
}

bug2regress Регрессионный тест (стоп-кран)

Тест пытается: 1) залогиниться как обычный юзер А, 2) создать файл от имени А, 3) прикрепить этот файл к репорту B (который не принадлежит А). Если API вернуло 200 — билд стопаем. Мы ждём 403.

#!/bin/bash # attach-hijack-check.sh # 1. создаём тестовый файл (как user A) FILE_ID=$(curl -s -X POST "https://staging.example.internal/api/files" \ -H "Authorization: Bearer USER_A_TOKEN" \ -F "file=@poc.jpg" | jq -r '.id') # 2. пробуем прилепить файл к чужому репорту REPORT_B STATUS=$(curl -s -o /tmp/resp.txt -w "%{http_code}" \ -X POST "https://staging.example.internal/api/attachFile" \ -H "Authorization: Bearer USER_A_TOKEN" \ -F "reportId=REPORT_B" \ -F "fileId=$FILE_ID") if [ "$STATUS" = "200" ]; then echo "[BLOCK] пользователь А может прикреплять файлы к репорту B" exit 1 fi echo "[OK] нельзя прилепить файл к чужому приватному репорту ($STATUS)" exit 0

Этот тест фиксирует бизнес-обещание: «файлы во внутреннем чате и приватных репортах принадлежат только авторам, и никто не сможет незаметно подложить что-то от их имени».

Проверка понимания Где реальный риск?

Любой пользователь может "вложить" файл в приватный разговор между безопасности и исследователем, и это выглядит как будто файл приложил сам исследователь.

Система не проверяет, что репорт/комментарий принадлежит текущему пользователю.

Главная проблема была в том, что название файла длинное.

ID сущностей легко угадать или перебрать, поэтому можно атаковать вообще все репорты подряд.

Стандарт: нельзя полагаться на "раз он авторизован — значит ему можно всё". Каждый объект проверяем на владение или явное право.

Теория (по желанию) Почему это не просто баг, а репутационная бомба

🎭 1. Что делает злоумышленник?

Он прикрепляет чуждый файл (фейк-POC, порно, угрозы, "THIS_PLATFORM_HACKED.jpg") к приватному репорту компании. В интерфейсе выглядит так, будто это загрузил исследователь / сотрудник / аудитор.

Дальше руководству показывают скрин: «смотрите, ваш подрядчик шантажирует нас». Конфликт, разборки, юристы.

💼 2. Почему корпораты падают от такого?

Это выглядит как компрометация внутренней переписки ("internal-chat").
Это ломает доверие к площадке: "почему у нас в приватном инцидент-канале оказалась эта картинка, кто её к нам слил?".
Это даёт leverage шантажу: можно подложить "доказательства" того, чего не было.

Это уже не просто «баг безопасности». Это юридический/PR риск.

🧩 3. Откуда растёт проблема технически?

ID сущности (репорт, комментарий) можно угадать — низкая энтропия.
Бэкенд верит, что раз пользователь залогинен, то он может прикреплять к любому ID.
Нигде не пишется "кто реально прикрепил файл". UI показывает, будто владелец репорта сам это приложил.

Это классический Broken Object Level Authorization (BOLA / IDOR), только усиленный репутационным эффектом.

📏 4. Новый стандарт

Каждая операция "прикрепить файл" проверяет, что и файл, и родитель (репорт/коммент) принадлежат текущему пользователю или он явно в списке разрешённых участников диалога.
Использовать неугадываемые ID (UUID), а не 530 / 531 / 532.
UI явно показывает "кто прикрепил файл", чтобы нельзя было тихо подбросить "улику".
Регрессионный тест в CI/CD ломает билд, если снова можно прикрепить к чужому репорту.

Это важнее, чем просто "чином баг". Это защита от шантажа и инсайдерских инцидентов.

✅ 5. Что докладываем менеджменту

Да, до фикса злоумышленник мог подменить вложения в приватных обсуждениях инцидента.
Теперь backend блокирует это технически.
А в интерфейсе видно, кто реально загружал вложение.
В пайплайне есть автопроверка, чтобы это не вернулось снова.

То есть это не "нам пообещали руками не делать", это "нам не даст сделать система".

bug2regress Регрессионный тест (стоп-кран)

Проверка понимания Где реальный риск?

Теория (по желанию) Почему это не просто баг, а репутационная бомба раскрыть

Теория (по желанию) Почему это не просто баг, а репутационная бомба