Files
Nexus/docs/changelog/2026-06-06-external-attack-surface-audit.md
T
Nexus Agent e5e2582743 fix(security): 外网攻击面加固 BL-01~05
收紧 PUBLIC 路径误匹配、强制 health/detail 与壁纸 sync 鉴权、默认关闭 OpenAPI;
安装锁定后 /api/install/* 统一 404;附探测脚本、测试与审计文档。

Co-authored-by: Cursor <cursoragent@cursor.com>
2026-06-07 01:45:10 +08:00

1.2 KiB
Raw Blame History

Changelog — 外网攻击面安全巡检(E1–E6)

日期2026-06-06

摘要

对生产 api.synaglobal.vip 执行无凭证外网攻击面巡检:新增黑盒脚本、三份报告与加固 backlog;无应用代码加固audit_only)。

动机

在「已登录管理员可信」前提下,审计无 JWT / 弱认证暴露面,与 B1–B6 鉴权后 API 巡检互补。

涉及文件

类型 路径
脚本 scripts/security_probe_external.sh
报告 docs/reports/2026-06-06-external-attack-probe-production.md
报告 docs/reports/2026-06-06-external-attack-surface-audit.md
Backlog docs/reports/2026-06-06-external-attack-hardening-backlog.md

主要发现(未修复)

  • P2GET /health/detail 未授权可读组件状态(PUBLIC_PREFIXES /health 前缀过宽)
  • P2POST /api/settings/bing-wallpapers/sync 未授权可触发外联下载(同上)
  • HOpenAPI/Swagger/ReDoc 公网可访问
  • 0 P0/P1

迁移 / 重启

无。仅文档与探测脚本。

验证方式

NEXUS_PROBE_BASE=https://api.synaglobal.vip bash scripts/security_probe_external.sh

证据见 docs/reports/2026-06-06-external-attack-probe-production.md