Bug2Lab — Утечка секрета в конфигурации (Java / Spring)

Утечка секрета в конфигурации

В этой лабораторной мы разбираем классическую ситуацию: секреты (пароли, токены, ключи) попадают в конфигурацию приложения и могут быть считаны извне. Цель — понять, как выглядит атака, почему так вообще случается и какой паттерн кода должен стать стандартом в команде.

Как выглядит атака

Злоумышленник обращается к внутреннему служебному эндпоинту конфигурации и получает чувствительные значения, включая пароли к БД и API-ключи.

GET /internal/config
200 OK

{
"datasource.password": "P@ssw0rd123",
"payment.apiKey": "LIVE_API_KEY_9f3a..."
}

Почему это стало возможным

Секреты захардкожены прямо в application.yml. Конфигурация не должна содержать реальные пароли продакшена, но они попали в билд как есть.

Проблемный код

          spring:
        
            datasource:
        
              url: "jdbc:postgresql://internal-db.example.local:5432/prod"
        
              username: "app_user"
        
              password: "P@ssw0rd123"  # ❌ секрет в явном виде
        
          payment:
        
            apiKey: "LIVE_API_KEY_9f3a..."  # ❌ продовый ключ в коде

Как это чинится правильно

Секреты не живут в репозитории. Они подтягиваются во время деплоя из секрет-хранилища (Vault / KMS / Secret Manager и т.д.). В коде и в конфиге остаются только ссылки.

Исправленный паттерн

          spring:
        
            datasource:
        
              url: "jdbc:postgresql://internal-db.example.local:5432/prod"
        
              username: "app_user"
        
              password: ${DB_PASSWORD_FROM_VAULT}  # ✅ подтягивается на деплое
        
          payment:
        
            apiKey: ${PAYMENT_API_KEY_FROM_VAULT}  # ✅ нет ключа в репо

bug2regress Регрессионный тест (стоп-кран в релизе)

По этой уязвимости создаётся автоматическая проверка, которая крутится в пайплайне. Если приложение снова начнёт отдавать секреты наружу — релиз блокируется. То есть эта же проблема не сможет тихо вернуться в прод.

#!/bin/bash # smoke-secrets-check.sh # Цель: убедиться, что сервис НЕ светит чувствительные значения RESPONSE=$(curl -s -H "Authorization: Bearer test-token" \ https://staging.example.internal/internal/config) # Если в ответе есть потенциальный секрет — завали билд if echo "$RESPONSE" | grep -E '(P@ssw0rd|API_KEY|SECRET|BEGIN RSA PRIVATE KEY)'; then echo "[BLOCK] Sensitive data exposed in /internal/config" exit 1 fi echo "[OK] No secrets leaked" exit 0

Этот скрипт подключается в CI/CD. Если он падает — билд считается небезопасным и дальше не едет. Это и есть техническая гарантия «эта боль не повторится без вашего ведома».

Проверка понимания Что именно было не так?

Отметьте корневую причину уязвимости. Это фиксируется как новый стандарт код-ревью.

Секреты хранились прямо в конфигурации приложения и были доступны из сервиса.

Приложение использовало небезопасный протокол шифрования TLS 1.0.

В конфиге использовались жёстко прописанные реальные ключи (`password`, `apiKey`) вместо переменных окружения / секрет-хранилища.

Пароль базы данных подтягивался из защищённого секрет-хранилища на этапе деплоя.

Правильный стандарт после этой лабораторной: в репозитории и в образе не остаётся продовых секретов. Секреты приезжают во время деплоя из секрет-хранилища.

Теория (по желанию) Почему утечка секрета — это катастрофа для бизнеса

🔐 1. Что такое «секрет» в приложении?

«Секрет» — это любые чувствительные данные, которыми ваше приложение доказывает свою личность и получает доступ к ресурсам:

пароли к БД (доступ к продовым данным клиентов),
API-ключи платёжных систем (можно списывать деньги или создавать транзакции),
токены сервисов (можно ходить в соседние микросервисы так, будто вы — легитимный компонент),
ключи подписи (можно подделывать доверенные запросы или JWT).

То есть секрет = не просто строчка. Это фактически полномочия вашей системы.

💣 2. Что делает злоумышленник, получив секрет?

Если секрет утёк, злоумышленник может:

📥 Залезть в прод-базу «как приложение» и скачать персональные данные клиентов.
💳 Выполнять платёжные операции от имени сервиса (мошенничество выглядит как «ваш собственный вызов»).
📤 Сливать внутренние данные партнёрам/конкурентам и говорить «это ваш сервис сам всё отдал».
🕯 Шантажировать: «у меня рабочие креды продакшена, платите или я это покажу регулятору/прессе».

Важно: для внешнего мира это будет выглядеть не как «атака», а как «ваш сервис повёл себя так». То есть репутационный удар летит в вас.

⚒️ 3. Как секрет вообще оказывается в конфиге? (реально происходит у всех)

Самый частый сценарий выглядит очень рабоче и очень знакомо:

⏱ «Нужно поднять сервис быстро» → пароль просто кладут в application.yml.
🐳 Этот файл попадает в Docker-образ и едет дальше по окружениям.
🔍 Появляется внутренний эндпоинт типа /internal/config, который «удобно смотреть в отладке», и он утекает наружу.
📜 Ошибки начинают логировать конфиг целиком (включая токены), логи попадают в систему, доступную не только разработчикам.

Этот путь не выглядит как хакерская киношная атака. Это выглядит как обычный «быстрый фикс в пятницу», который потом все забыли убрать.

🔁 4. Почему проблема возвращается через месяц снова?

Потому что если нет единого правила, каждый новый сервис/разработчик решает этот вопрос заново: «а что, если я просто впишу пароль тут и не буду настраивать Vault?».

Без стандарта это не ошибка одного конкретного человека. Это повторяющийся паттерн команды.

Отсюда и сценарий, который ненавидят CTO и безопасность: «Мы уже ЧИНИЛИ ЭТО! Почему оно снова всплыло в другом сервисе?!»

🛡️ 5. Что такое "стандарт" и почему без него не уложишь этот риск

Наша цель после инцидента — не просто закрыть дыру. Наша цель — зацементировать правило, чтобы она не вернулась.

📏 Стандарт кода: секреты не хранятся в репозитории и не отдаются наружу. В YAML — только ссылки вида ${VAR_FROM_VAULT}.
📚 Обучение команды: вот пример, который реально у вас случился, и вот корректный паттерн.
🚫 Стоп-кран (bug2regress): в CI/CD есть автотест, который просто не даст релизу уехать, если кто-то снова засунул секрет в код и открыл эндпоинт.

Это превращает «мы надеемся, что больше так не сделают» в «мы технически не позволяем этому снова попасть в прод без нашего ведома».

📄 6. Что получает руководство (CTO / безопасность / аудит) 🧾

Руководство после этой истории может честно положить наверх короткий документ формата:

«Да, у нас была утечка секрета» ✅
«Да, мы обучили команду на конкретном кейсе» 👩‍💻
«Да, мы внедрили правильный паттерн хранения секретов» 🔒
«Да, мы поставили регресс-тест, который стопает релиз, если это повторится» ⛔

Это уже не выглядит как «мы кое-как закрыли дыру, успокойтесь». Это выглядит как управляемый процесс снижения повторяющихся рисков.

✅ 7. Если коротко — что надо запомнить команде

Не клади секреты в код/конфиг. Никогда. Даже «на время».
Секреты идут из секрет-хранилища на деплое.
Любой эндпоинт, который возвращает конфиг, должен считаться потенциальной утечкой.
Автотест в пайплайне следит за этим. Если он упал — релиз невалиден технически, не «по настроению безопасности».

Это не «пожелания по стилю». Это теперь ваш стандарт.

bug2regress Регрессионный тест (стоп-кран в релизе)

Проверка понимания Что именно было не так?

Теория (по желанию) Почему утечка секрета — это катастрофа для бизнеса раскрыть

Теория (по желанию) Почему утечка секрета — это катастрофа для бизнеса