Dopo la segnalazione ad Anthropic, ho deciso di seguire il pattern sistematicamente. Se la gestione delle credenziali sui redirect era un problema in Claude Code, dove altro poteva nascondersi? Ho iniziato a guardare le librerie HTTP piu usate nell'ecosistema open source - e quello che ho trovato ha superato le mie aspettative.
Oltre 30 segnalazioni in pochi mesi. labstack/echo (30.000 stelle su GitHub), aio-libs/aiohttp (15.000 stelle), AWS SageMaker SDK, follow-redirects (usato da axios), sindresorhus/got, nodejs/undici, node-fetch, go-resty, Block OSS. Progetti usati da milioni di sviluppatori ogni giorno. Le classi di vulnerabilita che ho trovato: credential leak su redirect, scheme injection, path traversal, integrity bypass.
Lezioni dalla trincea
La lezione piu importante: le vulnerabilita piu pericolose sono quelle nei componenti che tutti danno per scontati. Una libreria HTTP con milioni di download settimanali che leaka header di autenticazione durante un redirect - l'impatto potenziale e enorme. Ma nessuno pensa di testare la propria libreria HTTP perche "funziona."
La seconda lezione: la qualita del processo di disclosure varia enormemente. Alcuni team hanno risposto in ore con acknowledgment e timeline. Altri non hanno mai risposto. Alcuni hanno fixato in giorni, altri hanno impiegato mesi. La maturita di un progetto open source si misura anche da come gestisce le segnalazioni di sicurezza.
La terza lezione, quella personale: fare vulnerability research su larga scala richiede metodo. Ho sviluppato una checklist sistematica, scritto tool di automazione per testare pattern specifici, e documentato ogni segnalazione meticolosamente. Non e caccia casuale - e ingegneria della ricerca.
Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.
Parliamone →