\[CRITICAL] LFI Auth Bypass 🔥 Как через конфиги и токены взломать API | Багхантинг /

В этом видео — реальный кейс критической уязвимости уровня CVSS 9.0, найденной в рамках багханта. Я покажу, как LFI (Local File Inclusion) на поддоменах `.` привёл к скачиванию конфигурационных файлов, утечке чувствительных данных и полной компрометации API через токены. Отчет - --- 🚀 Что вы узнаете из этого видео Как искать LFI на реальных проектах Почему `.env` и `` — золотая жила для багхантера Как использовать JWT\_SECRET для обхода авторизации Чем опасна утечка Git-токенов Как один баг превращается в целую цепочку атак --- 📌 Суть найденной уязвимости На поддоменах `` и `` параметр `file` позволял подгружать локальные файлы сервера. Запросы вроде: ``` ``` возвращали содержимое конфигурационных файлов. Это LFI в чистом виде, но с последствиями, которые выходят за рамки обычного чтения файлов. --- 🔓 Что удалось извлечь Из файлов были получены: JWT\_SECRET — ключ для подписи токенов DB\_USER / DB\_PASSWORD — доступ к базе данных Git remote tokens — ключи для приватных репозиториев --- 🎯 Эксплуатация: обход токен-базированной авторизации С помощью JWT\_SECRET можно было подделать токены или использовать уже действующие (token replay). Пример PoC-запроса: ```bash curl -H “Authorization: Bearer leaked_token“ \ ``` Результат — доступ к приватным эндпоинтам API без прохождения логина и пароля. --- ⚠️ Риски Полная компрометация API Утечка секретов для внутренних сервисов Возможность атак на БД Доступ к исходному коду через Git-токены --- 🗂 Доказательства В архиве `` есть: Конфигурационные файлы Список утёкших секретов PoC-запросы и скрипты Логи работы API с поддельными токенами --- 📊 Критичность CVSS: 9.0 / Critical — уязвимость даёт полный контроль над API и доступ к инфраструктуре. --- 💡 Уроки для багхантеров 1. Проверяйте доступность `.env`, `` и других конфигов. 2. LFI может быть началом цепочки атак. 3. Никогда не храните продакшн-секреты в публично доступных файлах. --- 🎥 В ролике: Поиск LFI на боевых проектах Извлечение секретов Создание токенов для обхода авторизации Анализ рисков Рекомендации по защите --- 🔎 Ключевые слова для поиска: `LFI`, `Local File Inclusion`, `JWT Bypass`, `Auth Bypass`, `Token Replay`, `API Hack`, `Bug Bounty`, `Багхантинг`, `Взлом API`, `Pentest`, `Exploit`, `Security`, `Web Security`, `PoC`, `CVSS 9.0`, `MAX`, `Security Research`, `Хакерские атаки`, `Infosec`. --- 💬 Напишите в комментариях: Приходилось ли вам находить LFI? Какие секреты вы находили в `.env` и ``? 📢 Подписывайтесь на канал, если хотите видеть больше реальных историй багханта, PoC, взломов API и кейсов с высокой критичностью. On English: In this video, there is a real case of a critical vulnerability of the CVSS 9.0 level, found within the framework of a bughunt. I will show how LFI (Local File Inclusion) on `.` subdomains led to downloading of configuration files, leakage of sensitive data and complete compromise of the API via tokens. Report - --- 🚀 What you will learn from this video How to search for LFI on real projects Why `.env` and `` are a gold mine for a bug hunter How to use JWT\_SECRET to bypass authorization Why Git token leaks are dangerous How one bug turns into a whole chain of attacks --- 📌 The essence of the vulnerability found On the subdomains `` and ``, the `file` parameter allowed local server files to be loaded. Requests like: ``` ``` returned the contents of the configuration files. This is pure LFI, but with consequences that go beyond the usual file reading. --- 🔓 What we managed to extract The following were obtained from the files: JWT\_SECRET — key for signing tokens DB\_USER / DB\_PASSWORD — access to the database Git remote tokens — keys for private repositories --- 🎯 Exploitation: bypassing token-based authorization With the help of JWT\_SECRET, it was possible to forge tokens or use existing ones (token replay). Example of PoC request: ```bash curl -H “Authoriz