قبل بضعة أيام تم الكشف عن ثغرة أمنية في منصة الدورة التدريبية الشهيرة عبر الإنترنت Coursera وهي أن المشكلة التي واجهها كانت في API ، لذا يُعتقد أنه من المحتمل جدًا أن يكون المتسللون قد أساءوا استخدام الثغرة الأمنية "BOLA" لفهم تفضيلات الدورة التدريبية للمستخدمين ، بالإضافة إلى تحريف خيارات الدورة التدريبية للمستخدم.
بالإضافة إلى ذلك ، يُعتقد أيضًا أن الثغرات الأمنية التي تم الكشف عنها مؤخرًا قد تكون قد كشفت بيانات المستخدم قبل إصلاحها. هؤلاء تم اكتشاف عيوب من قبل باحثين من شركة اختبار أمان التطبيق تشيكماركس ونشرت خلال الأسبوع الماضي.
نقاط الضعف تتعلق بمجموعة متنوعة من واجهات برمجة تطبيقات Coursera وقرر الباحثون الخوض في أمان Coursera نظرًا لشعبيتها المتزايدة من خلال التحول إلى العمل والتعلم عبر الإنترنت بسبب جائحة COVID-19.
بالنسبة لأولئك الذين ليسوا على دراية بـ Coursera ، يجب أن تعلم أن هذه شركة لديها 82 مليون مستخدم وتعمل مع أكثر من 200 شركة وجامعة. تشمل الشراكات البارزة جامعة إلينوي ، وجامعة ديوك ، وجوجل ، وجامعة ميشيغان ، وآلات الأعمال الدولية ، وإمبريال كوليدج لندن ، وجامعة ستانفورد ، وجامعة بنسلفانيا.
تم اكتشاف العديد من مشكلات واجهة برمجة التطبيقات بما في ذلك تعداد المستخدم / الحساب عبر ميزة إعادة تعيين كلمة المرور ، نقص الموارد الذي يحد من كلاً من GraphQL API و REST ، والتكوين غير الصحيح لـ GraphQL. على وجه الخصوص ، تتصدر القائمة مشكلة تفويض مستوى الكائن المعطل.
عند التفاعل مع تطبيق الويب Coursera كمستخدمين عاديين (طلاب) ، لاحظنا أنه تم عرض الدورات التي تم عرضها مؤخرًا في واجهة المستخدم. لتمثيل هذه المعلومات ، نكتشف طلبات GET متعددة لواجهة برمجة التطبيقات لنفس نقطة النهاية: /api/userPreferences.v1/[USER_ID-lex.europa.eu~ [PREFERENCE_TYPE}.
يتم وصف ثغرة BOLA API على أنها تفضيلات المستخدم المتأثرة. الاستفادة من الثغرة الأمنية ، حتى المستخدمين المجهولين تمكنوا من استرداد التفضيلات ، ولكن أيضًا تغييرها. بعض التفضيلات ، مثل الدورات التدريبية والشهادات التي تم عرضها مؤخرًا ، تقوم أيضًا بتصفية بعض البيانات الوصفية. يمكن أن تؤدي عيوب BOLA في واجهات برمجة التطبيقات إلى كشف نقاط النهاية التي تتعامل مع معرفات الكائنات ، والتي يمكن أن تفتح الباب أمام هجمات أوسع.
"كان من الممكن إساءة استخدام هذه الثغرة الأمنية لفهم تفضيلات الدورة التدريبية للمستخدمين عمومًا على نطاق واسع ، ولكن أيضًا لتحريف خيارات المستخدمين بطريقة ما ، حيث أثر التلاعب في نشاطهم الأخير على المحتوى المعروض على الصفحة الرئيسية Coursera المستخدم ، "شرح الباحثون.
يقول الباحثون: "لسوء الحظ ، فإن مشاكل التفويض شائعة جدًا مع واجهات برمجة التطبيقات". "من المهم جدًا جعل عمليات التحقق من صحة التحكم في الوصول مركزية في مكون واحد ، واختباره جيدًا ، واختباره باستمرار ، وصيانته بشكل فعال. يجب مراجعة نقاط نهاية API الجديدة ، أو التغييرات التي تطرأ على النقاط الحالية ، بعناية في مقابل متطلبات الأمان الخاصة بها. "
لاحظ الباحثون أن مشاكل الترخيص شائعة جدًا مع واجهات برمجة التطبيقات ، ومن ثم فمن المهم تركيز عمليات التحقق من صحة التحكم في الوصول. يجب أن يتم القيام بذلك من خلال مكون صيانة واحد تم اختباره جيدًا ومستمر.
تم إرسال نقاط الضعف المكتشفة إلى فريق الأمان في Coursera في 5 أكتوبر. جاء التأكيد على أن الشركة تلقت التقرير وكانت تعمل عليه في 26 أكتوبر ، وكتبت كورسيرا لاحقًا تشيركماركس قائلة إنها قد حلت المشكلات في 18 ديسمبر حتى 2 يناير ، ثم أرسلت كورسيرا تقريرًا عن اختبار جديد به مشكلة جديدة. أخيرا، في 24 مايو ، أكدت كورسيرا أنه تم إصلاح جميع المشكلات.
على الرغم من الوقت الطويل نسبيًا من الكشف إلى التصحيح ، قال الباحثون إن فريق كورسيرا الأمني كان من دواعي سروري العمل معه.
وخلصوا إلى أن "مهنيتهم وتعاونهم ، فضلاً عن الملكية السريعة التي تحملوها ، هي ما نتطلع إليه عند التعامل مع شركات البرمجيات".
مصدر: https://www.checkmarx.com