Knowledge Base

Foundation Collapse Analysis — Анализ точек полного компромисса

Foundation Collapse Analysis

Категория: Web App Security · Риск: critical

Foundation Collapse Analysis

Концепция

Большинство сканеров безопасности дают **список проблем**:

LOW  · header_no_xcto
MED  · dns_no_dmarc
HIGH · header_no_hsts

Но не отвечают на главный вопрос бизнеса:

> **«Что сломает всю защиту сразу?»**

NodeRoute Foundation Collapse Analysis отвечает именно на этот вопрос.

---

Модель пирамиды безопасности

Архитектура безопасности — это пирамида слоёв. Каждый слой опирается на нижележащий:

    ┌────────────────────────────────────────┐
  4 │    Hygiene (robots, banners, meta)     │
    ├────────────────────────────────────────┤
  3 │  Application (CSP, cookies, CORS)     │
    ├────────────────────────────────────────┤
  2 │ Infrastructure (CDN, TLS, rate-limit)  │
    ├────────────────────────────────────────┤
  1 │ FOUNDATION (auth, secrets, DB, CI/CD)  │
    └────────────────────────────────────────┘

**Вытащить основание = всё рухнет.**

---

Статусы Foundation Stability

🔴 BROKEN — Фундамент нарушен

Обнаружена одна или несколько **Collapse Points**: уязвимости, каждая из которых **сама по себе** приводит к полному компромису.

Примеры Collapse Points:

> Статус BROKEN означает: **другие проверки не имеют значения** пока не закрыта Collapse Point.

---

🟠 WEAK — Фундамент ослаблен

Найдены **Bypass Vectors** — уязвимости, позволяющие обойти ключевые уровни защиты:

---

🟡 STABLE — Фундамент устойчив

Критических точек отказа не обнаружено. Отдельные minor issues не создают архитектурный риск.

---

🟢 HARDENED — Фундамент укреплён

STABLE + активны ключевые позитивные защиты: HSTS, CSP, DMARC, CDN/WAF, security.txt.

---

Категории анализа

P0 — Collapse Points

Одна уязвимость = полный компромис:

| Уязвимость | Последствие | |------------|-------------| | Redis :6379 открыт | Полный RW-доступ к данным и RCE | | MongoDB :27017 открыт | Кража/удаление всех данных | | Elasticsearch :9200 открыт | Утечка всех индексов | | Docker :2375 открыт | Root на хосте | | Kubernetes API :6443 открыт | Полный контроль кластера | | .env файл доступен | Все секреты (DB, API keys, JWT secret) | | .git/config доступен | Исходный код, история, credentials | | Cloudflare origin leak | Обход WAF, DDoS защиты, rate-limit | | Jenkins открыт | CI/CD ключи, RCE | | Jupyter Notebook :8888 | RCE без взлома | | Telnet :23 | Cleartext credentials |

P1 — Bypass Vectors

Позволяют обойти существующую защиту:

| Вектор | Что обходит | |--------|-------------| | Нет HSTS | HTTPS downgrade атаки | | RDP/VNC открыты | Firewall (брутфорс) | | DNS Zone Transfer | Security through obscurity | | Нет WAF | OWASP Top-10 атаки |

P2 — Cascade Risks

Создают информацию или условия для дальнейшей атаки:

| Риск | Что даёт атакующему | |------|---------------------| | Prometheus открыт | Карта инфраструктуры | | phpinfo() доступен | Версии, пути, ENV vars | | Source maps открыты | Исходный код JS | | Grafana открыта | Credentials к datasource | | Версия CMS раскрыта | Известные CVE |

---

Что это означает для бизнеса

**Обычный сканер:**

47 findings найдено (8 high, 15 medium, 24 low)
Score: 42/100

**Foundation Collapse Analysis:**

🔴 FOUNDATION COMPROMISED

Одна уязвимость полностью нейтрализует периметральную защиту:
Origin IP сервера доступен напрямую в обход Cloudflare.

Атакующий может:
• Обойти WAF (SQL injection, XSS не фильтруются)
• Атаковать сервер без ограничения скорости
• Отправить DDoS напрямую на VPS

Приоритет #1: Закрыть origin IP файрволом → разрешить только CF IP ranges

---

Связанные статьи