Отвечая на тейк о бэкдорах "оставленными мною", мы пошли сразу выкапывать прошлые наши наработки, тех времен (годичной давности).
И по подсказке наших приятелей, мы обнаружили интересную уязвимость, которая уже давно пофикшена на всех проектах с схожей базой, но все же как факт, что она была.
Я взял коммит с гитхаба (на тот момент был гитхаб) за 29 января 2025 года, проект брейкера бэкенд часть, на тот момент был крупный патч.
И открыли сущность на nest.js - file.service.ts, file.controller... и тд
Где видно, что даже на коммите годичной давности, изменений в этих файлах небыло 2 года, с момента релиза первой версии.
И в чем собственно проблема - знающий человек, сразу понял :)
Здесь нет строгой валидации на проверку типов файлов, условно .png, .svg и тд
И буквально можно было заливать в том числе .php файлы. Но это возможность открывалось только тем, кто проходил проверку декоратора на администратора, собственно кто-то из его же стаффа ему и закинул подарок.
Его высер про то, что это сделано с Казахстана - не понял, как он вообще это понял)
Признаю свою вину, что неуследил за столь простой уязвимостью!
