Technický report penetračního testování (v1.2)
Audit byl zaměřen na zranitelnosti kritického charakteru dle metodiky OWASP Top 10. Testování probíhalo formou 'Grey Box' s přístupem k dokumentaci API.
1. Kritické nálezy: Broken Access Control (A01:2021)
Byla identifikována zranitelnost typu IDOR (Insecure Direct Object Reference) na endpointu /api/v1/user/settings.
- Technický detail: Změnou parametru
user_idv POST requestu lze manipulovat s profily ostatních uživatelů bez platného session tokenu daného subjektu. - Dopad: Expozice PII (Personally Identifiable Information) v rozporu s GDPR a možnost neautorizované eskalace privilegií.
2. Injection: SQLi na vyhledávacím modulu (A03:2021)
Modul pro fulltextové vyhledávání nekorektně sanitizuje vstupy předávané do databázového stroje PostgreSQL.
- Vektor útoku: Slepá (Blind) SQL injekce umožňující časovou analýzu (Time-based sleep) pro extrakci názvů tabulek.
- Doporučená náprava: Okamžitá implementace ORM (Eloquent/Doctrine) nebo striktní využití bindování parametrů v PDO.
3. Infrastrukturní nedostatky
Hlavičky serveru
Server vrací hlavičku Server: Apache/2.4.41 (Ubuntu), což usnadňuje výběr cíleného exploit kitu.
Doporučení: Zakázat ServerTokens a ServerSignature v konfiguraci Apache.
SSL/TLS Certifikát
Certifikát využívá zastaralý šifrovací algoritmus SHA-1.
Doporučení: Nutná okamžitá migrace na SHA-256.
4. Prioritní harmonogram nápravy
| Priorita | Zranitelnost | Odhad pracnosti |
|---|---|---|
| P0 - Urgent | IDOR na API | 4 MD |
| P1 - High | SQL Injection | 2 MD |
| P2 - Medium | SSL Hardening | 1 MD |
Zranitelnost neexistuje sama o sobě, je to pouze nevyužitá příležitost pro obranu dříve, než ji najde útočník.
Metodika etického hackingu KyberHelp 2026