Vundebleco en la Coursera API povus permesi la elfluadon de uzantodatenoj

Antaŭ kelkaj tagoj vundebleco estis malkaŝita en la populara interreta kurso-platformo Coursera kaj estas, ke la problemo, kiun li havis, estis en la API, do Oni kredas, ke tre eblas, ke retpiratoj misuzis la vundeblecon "BOLA" por kompreni la kursajn preferojn de uzantoj, kaj ankaŭ malobservi la kursajn elektojn de uzanto.

Aldone al tio oni ankaŭ kredas, ke la ĵus malkaŝitaj vundeblecoj povus elmontri uzantajn datumojn antaŭ ol esti riparitaj. Ĉi tiuj difektoj estis malkovritaj de esploristoj de la kompanio pri provoj pri sekureco pri aplikaĵoj Markmarko kaj eldonita dum la pasinta semajno.

Vundeblecoj rilatas al diversaj interfacoj de programado de programoj Coursera kaj la esploristoj decidis plonĝi en la sekurecon de Coursera pro ĝia kreskanta populareco per ŝanĝo al laboro kaj interreta lernado pro la COVID-19-pandemio.

Por tiuj, kiuj ne konas Coursera, vi devas scii, ke temas pri kompanio, kiu havas 82 milionojn da uzantoj kaj laboras kun pli ol 200 kompanioj kaj universitatoj. Rimarkindaj partnerecoj inkluzivas la Universitaton de Ilinojso, Universitato Duke, Google, la Universitato de Miĉigano, Internaciaj Komercaj Maŝinoj, Imperial College London, Universitato Stanford kaj la Universitato de Pensilvanio.

Diversaj API-problemoj estis malkovritaj inkluzive de uzanto / konta nombrado per pasvorta restariga funkcio, manko de rimedoj limigantaj kaj la API de GraphQL kaj REST, kaj malĝusta agordo de GraphQL. Aparte, rompita objekta nivela rajtiga numero superas la liston.

Interagante kun la retejo Coursera kiel regulaj uzantoj (studentoj), ni rimarkis, ke lastatempe vidataj kursoj montriĝis en la uzantinterfaco. Por reprezenti ĉi tiun informon, ni detektas plurajn API-GET-petojn al la sama fina punkto: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

La vundebleco de la API BOLA estas priskribita kiel tuŝitaj preferoj de uzanto. Profitante la vundeblecon, eĉ anonimaj uzantoj povis rekuperi preferojn, sed ankaŭ ŝanĝi ilin. Iuj preferoj, kiel lastatempe vidataj kursoj kaj atestiloj, ankaŭ filtras iujn metadatenojn. BOLA-difektoj en APIoj povas elmontri finpunktojn kiuj pritraktas objektajn identigilojn, kiuj povus malfermi la pordon al pli vastaj atakoj.

«Ĉi tiu vundebleco povus esti trouzita por kompreni la kursajn preferojn de ĝeneralaj uzantoj grandskale, sed ankaŭ por malobei la elektojn de uzantoj iel, ĉar la manipulado de ilia lastatempa agado influis la enhavon prezentitan sur la ĉefpaĝo Coursera por specifa uzanto, "la esploristoj klarigas.

"Bedaŭrinde, rajtigaj problemoj estas sufiĉe oftaj ĉe API," diras la esploristoj. “Estas tre grave centralizi alirkontrolajn validigojn en unu ero, bone provita, kontinue provita kaj aktive prizorgata. Novaj API-finpunktoj, aŭ ŝanĝoj al ekzistantaj, devas esti zorge reviziitaj kontraŭ iliaj sekurecaj postuloj. "

La esploristoj rimarkis, ke rajtigaj problemoj estas sufiĉe oftaj kun APIoj kaj ke kiel tia gravas alcentrigi kontrolojn de alirkontrolo. Tiel fari devas esti per ununura, bone provita kaj daŭra bontenado.

Malkovritaj vundeblecoj estis submetitaj al la sekureca teamo de Coursera la 5an de oktobro. Konfirmo, ke la kompanio ricevis la raporton kaj laboris pri ĝi, venis la 26an de oktobro, kaj Coursera poste skribis Cherkmarx dirante, ke ili solvis la problemojn la 18an de decembro ĝis la 2a de januaro kaj Coursera tiam sendis raporton pri nova testo kun nova problemo. Fine, La 24an de majo, Coursera konfirmis, ke ĉiuj problemoj estis riparitaj.

Malgraŭ la sufiĉe longa tempo de malkaŝo al korekto, la esploristoj diris, ke la sekureca teamo de Coursera plaĉis kunlabori.

"Ilia profesieco kaj kunlaboro, same kiel la rapida proprieto, kiun ili supozis, estas tio, kion ni antaŭĝojas kiam ni partoprenas kun programaj kompanioj," ili finis.

Fonto: https://www.checkmarx.com


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

Estu la unua por komenti

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.