Security Audit

1.1 Инвентаризация поверхности атаки

Для каждого компонента определи:

• Точки входа — API-эндпоинты, формы, WebSocket, gRPC
• Аутентификация — механизм (JWT, session, OAuth), где проверяется
• Авторизация — ролевая модель, проверка прав на ресурсы
• Хранение данных — БД, кеш, файловая система, что хранится
• Внешние интеграции — сторонние API, webhooks, очереди сообщений
• Секреты — ключи, токены, пароли — где хранятся и как передаются

1.2 Определение модели угроз

Для каждого компонента оцени:

• Кто потенциальный атакующий? (внешний пользователь, авторизованный, инсайдер)
• Какие данные под угрозой? (PII, финансовые, credentials)
• Каков ущерб при компрометации? (утечка, финансовый, репутационный)

Фаза 2: Аудит кода

2.1 OWASP Top 10 — проверочный список

A01: Broken Access Control

• Проверка авторизации на каждом эндпоинте (не только в middleware)
• IDOR — можно ли получить чужие данные, подменив ID
• Горизонтальная эскалация — пользователь A видит данные пользователя B
• Вертикальная эскалация — обычный пользователь выполняет admin-действия
• Прямой доступ к файлам (path traversal)

A02: Cryptographic Failures

• Пароли хешируются через bcrypt/argon2 (не MD5/SHA)
• Sensitive данные шифруются at rest и in transit
• Не используются устаревшие алгоритмы (DES, RC4, MD5 для подписей)
• JWT подписывается через RS256/ES256 (не HS256 с weak secret)

A03: Injection

• SQL-запросы через параметризованные queries / ORM
• NoSQL injection — проверка типов входных данных для MongoDB
• Command injection — нет передачи пользовательского ввода в shell
• LDAP injection — экранирование спецсимволов
• Template injection — пользовательский ввод не попадает в шаблоны

A04: Insecure Design

• Rate limiting на критичных эндпоинтах (логин, регистрация, OTP)
• Защита от brute force (lockout, exponential backoff)
• Валидация бизнес-логики (нельзя купить за отрицательную цену)

A05: Security Misconfiguration

• Debug-режим выключен в production
• Stack traces не раскрываются пользователю
• Дефолтные пароли и credentials заменены
• Unnecessary HTTP-методы отключены (TRACE, OPTIONS где не нужен)
• Security headers установлены (см. раздел 2.2)

A06: Vulnerable Components

• Зависимости проверены на известные CVE
• Lock-файл актуален (package-lock.json, poetry.lock)
• Нет зависимостей с критическими уязвимостями без патчей

A07: Authentication Failures

• Пароли имеют минимальные требования (длина ≥ 8, complexity)
• Многофакторная аутентификация для admin-панели
• Session tokens регенерируются после логина
• Logout инвалидирует серверную сессию / добавляет JWT в blacklist

A08: Data Integrity Failures

• CI/CD пайплайн не позволяет деплой без review
• Зависимости устанавливаются с integrity checks
• Подпись артефактов при деплое

A09: Logging & Monitoring

• Логируются попытки авторизации (успешные и неуспешные)
• Логируются изменения критичных данных (audit trail)
• Sensitive данные НЕ попадают в логи (пароли, токены, PII)
• Есть алертинг на подозрительную активность

A10: SSRF

• Пользовательский ввод не используется для формирования URL запросов
• Whitelist разрешённых доменов для внешних вызовов
• Заблокирован доступ к metadata endpoints (169.254.169.254)

2.2 Security Headers

Content-Security-Policy: default-src 'self'; script-src 'self'; style-src 'self' 'unsafe-inline'
X-Content-Type-Options: nosniff
X-Frame-Options: DENY
Strict-Transport-Security: max-age=31536000; includeSubDomains
X-XSS-Protection: 0
Referrer-Policy: strict-origin-when-cross-origin
Permissions-Policy: camera=(), microphone=(), geolocation=()

2.3 Поиск секретов в коде

Ищи паттерны:

• API-ключи: AKIA[0-9A-Z]{16}, sk-[a-zA-Z0-9]{32,}
• Пароли: password\s*=\s*["'][^"']+["']
• Токены: token\s*[:=]\s*["'][^"']+["']
• Connection strings: mongodb://, postgres://, mysql:// с credentials
• Private keys: -----BEGIN (RSA |EC )?PRIVATE KEY-----

Фаза 3: Аудит инфраструктуры

3.1 Docker

# Антипаттерны:
FROM ubuntu:latest              # ❌ Тег latest, большой образ
USER root                       # ❌ Контейнер от root
COPY . .                        # ❌ Копируется всё, включая .env
RUN apt-get install -y curl     # ❌ Нет очистки кеша

# Рекомендации:
FROM node:20-alpine AS builder  # ✅ Конкретная версия, alpine
USER node                       # ✅ Непривилегированный пользователь
COPY package*.json ./           # ✅ Только необходимое
RUN npm ci --only=production    # ✅ Чистая установка

3.2 Kubernetes

Проверь наличие:

• PodSecurityStandards — restricted или baseline profile
• NetworkPolicies — default deny + явные разрешения
• RBAC — минимальные привилегии, нет cluster-admin для приложений
• Secrets — не хранятся в manifests, используется external-secrets или sealed-secrets
• Resource limits — установлены для всех контейнеров
• readOnlyRootFilesystem — включён где возможно

3.3 Terraform / IaC

• S3 buckets не публичные
• Security groups не имеют 0.0.0.0/0 для SSH/RDP
• RDS/databases не доступны из интернета
• Encryption at rest включено для всех хранилищ
• IAM policies по принципу least privilege
• State file зашифрован и не хранится в git

Фаза 4: Отчёт

4.1 Формат находки

### [CRITICAL] SQL Injection в /api/users/search

**Файл:** src/routes/users.ts:45
**Категория:** A03 — Injection
**CVSS:** 9.8 (Critical)

**Описание:**
Параметр `query` из GET-запроса подставляется напрямую в SQL без параметризации.

**Пример эксплуатации:**
GET /api/users/search?query=' OR 1=1--

**Рекомендация:**
Использовать параметризованный запрос:
```sql
-- БЫЛО:
SELECT * FROM users WHERE name LIKE '%${query}%'

-- СТАЛО:
SELECT * FROM users WHERE name LIKE $1
-- параметр: `%${query}%`

Приоритет: Исправить немедленно

### 4.2 Классификация по severity

| Уровень | Критерий | Срок исправления |
|---------|----------|------------------|
| CRITICAL | Возможна удалённая эксплуатация, утечка данных | Немедленно |
| HIGH | Эскалация привилегий, обход авторизации | 1-3 дня |
| MEDIUM | Раскрытие информации, отсутствие hardening | 1-2 недели |
| LOW | Best practice нарушения, информационные | При случае |
| INFO | Рекомендации по улучшению | Беклог |

### 4.3 Итоговый отчёт

```markdown
# Отчёт аудита безопасности

## Резюме
- Дата: YYYY-MM-DD
- Скоуп: описание проверяемой системы
- Найдено: X Critical, X High, X Medium, X Low

## Критические находки
...

## Рекомендации по приоритету
1. [CRITICAL] Исправить SQL injection — src/routes/users.ts
2. [HIGH] Включить rate limiting на /api/auth/login
3. [MEDIUM] Добавить CSP header
...

## План hardening
| Неделя | Действие | Severity |
|--------|----------|----------|
| 1 | Исправить все Critical | Critical |
| 2 | Исправить High, добавить headers | High |
| 3-4 | Medium находки, audit logging | Medium |

Ограничения

• НЕ эксплуатируй уязвимости — только выявляй и описывай
• НЕ обращайся к внешним сервисам для проверки
• НЕ рекомендуй security through obscurity как единственную меру
• Всегда указывай конкретный файл и строку для каждой находки
• Все находки и рекомендации на русском, CVE и технические термины — на английском