Vor ein paar Tagen In der beliebten Online-Kursplattform Coursera . wurde eine Schwachstelle bekannt und ist, dass das Problem, das er hatte, in der API lag, also Es wird angenommen, dass es sehr gut möglich ist, dass Hacker die Schwachstelle "BOLA" missbraucht haben um die Kurspräferenzen der Benutzer zu verstehen und die Kursoptionen eines Benutzers zu verändern.
Darüber hinaus wird auch angenommen, dass die kürzlich aufgedeckten Schwachstellen Benutzerdaten vor der Reparatur freigelegt haben könnten. Diese Mängel wurden von Forschern aus . entdeckt das Unternehmen für Anwendungssicherheitstests Scheckmarx und in der letzten Woche veröffentlicht.
Sicherheitslücken beziehen sich auf eine Vielzahl von Coursera-Anwendungsprogrammierschnittstellen und die Forscher beschlossen, sich mit der Sicherheit von Coursera aufgrund seiner zunehmenden Popularität durch den Wechsel zur Arbeit und zum Online-Lernen aufgrund der COVID-19-Pandemie zu befassen.
Für diejenigen, die mit Coursera nicht vertraut sind, sollten Sie wissen, dass dies ein Unternehmen ist, das 82 Millionen Benutzer hat und mit mehr als 200 Unternehmen und Universitäten zusammenarbeitet. Bemerkenswerte Partnerschaften umfassen die University of Illinois, die Duke University, Google, die University of Michigan, International Business Machines, das Imperial College London, die Stanford University und die University of Pennsylvania.
Es wurden verschiedene API-Probleme entdeckt, darunter die Aufzählung von Benutzern / Konten über die Funktion zum Zurücksetzen des Kennworts, Mangel an Ressourcen, die sowohl die GraphQL-API als auch REST einschränken, und eine falsche GraphQL-Konfiguration. Insbesondere steht ein Problem mit der Autorisierung auf Objektebene ganz oben auf der Liste.
Bei der Interaktion mit der Coursera-Webanwendung als normale Benutzer (Studenten) ist uns aufgefallen, dass kürzlich angesehene Kurse in der Benutzeroberfläche angezeigt wurden. Um diese Informationen darzustellen, erkennen wir mehrere API GET-Anfragen an denselben Endpunkt: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Die BOLA-API-Schwachstelle wird als betroffene Benutzereinstellungen beschrieben. Unter Ausnutzung der Schwachstelle konnten selbst anonyme Benutzer Einstellungen abrufen, aber auch ändern. Einige der Einstellungen, z. B. kürzlich angesehene Kurse und Zertifizierungen, filtern auch einige Metadaten heraus. BOLA-Fehler in APIs können Endpunkte offenlegen die mit Objektidentifikatoren umgehen, die breiteren Angriffen Tür und Tor öffnen könnten.
«Diese Schwachstelle könnte missbraucht worden sein, um die Kurspräferenzen allgemeiner Benutzer in großem Umfang zu verstehen, aber auch, um die Entscheidungen der Benutzer in irgendeiner Weise zu verzerren, da die Manipulation ihrer jüngsten Aktivitäten die auf der Homepage Coursera präsentierten Inhalte für einen bestimmten Zweck beeinflusste Benutzer “, erklären die Forscher.
„Berechtigungsprobleme sind bei APIs leider keine Seltenheit“, sagen die Forscher. „Es ist sehr wichtig, die Validierung der Zugangskontrolle in einer einzigen Komponente zu zentralisieren, die gut getestet, kontinuierlich getestet und aktiv gewartet wird. Neue API-Endpunkte oder Änderungen an bestehenden sollten sorgfältig anhand ihrer Sicherheitsanforderungen überprüft werden."
Die Forscher stellten fest, dass Autorisierungsprobleme bei APIs recht häufig sind und dass es daher wichtig ist, die Validierung der Zugangskontrolle zu zentralisieren. Dies muss über eine einzige, gut getestete und fortlaufende Wartungskomponente erfolgen.
Entdeckte Sicherheitslücken wurden am 5. Oktober an das Sicherheitsteam von Coursera übermittelt. Die Bestätigung, dass das Unternehmen den Bericht erhalten und daran gearbeitet hat, kam am 26. Oktober, und Coursera schrieb Cherkmarx daraufhin, dass sie die Probleme vom 18. Dezember bis zum 2. Januar gelöst hätten, und Coursera schickte dann einen Bericht über einen neuen Test mit einem neuen Problem. Schließlich, Am 24. Mai bestätigte Coursera, dass alle Probleme behoben wurden.
Trotz der ziemlich langen Zeit von der Offenlegung bis zur Korrektur sagten die Forscher, dass die Zusammenarbeit mit dem Coursera-Sicherheitsteam eine Freude war.
"Ihre Professionalität und Zusammenarbeit sowie die schnelle Übernahme von Eigenverantwortung sind das, worauf wir uns bei der Zusammenarbeit mit Softwareunternehmen freuen", schlossen sie.
Quelle: https://www.checkmarx.com