Coursera APIaren ahultasunak erabiltzaileen datuak ihes egitea baimendu dezake

Duela egun gutxi ahultasun bat ezagutzera eman zen Coursera lineako ikastaroen plataforma ezagunean eta izan zuen arazoa APIan zegoela, beraz uste da oso posible dela hackerrek "BOLA" ahultasunaz abusatu izana. erabiltzaileen ikastaroen hobespenak ulertzeko, baita erabiltzailearen ikastaro aukerak okertzeko ere.

Gainera, uste da duela gutxi agerian dauden ahultasunek erabiltzaileen datuak agerian izan ditzaketela konpondu aurretik. Hauek urteko ikertzaileek aurkitu zituzten akatsak aplikazioaren segurtasun proben konpainia checkmarx eta azken astean argitaratua.

Ahultasunak Coursera aplikazioen programazio interfaze ugarirekin erlazionatzen dira eta ikertzaileek Courseraren segurtasunean sakontzea erabaki zuten, gero eta ospea handiagoa baitzen COVID-19 pandemia dela eta lanera aldatzea eta lineako ikaskuntzaren bidez.

Coursera ezagutzen ez dutenentzat, jakin behar duzu 82 milioi erabiltzaile dituen eta 200 enpresa eta unibertsitate baino gehiagorekin lan egiten duen enpresa dela. Lankidetza aipagarrien artean daude Illinoisko Unibertsitatea, Duke Unibertsitatea, Google, Michiganeko Unibertsitatea, International Business Machines, Imperial College London, Stanford University eta Pennsylvania Unibertsitatea.

Hainbat API arazo aurkitu dira erabiltzaileen / kontuen zenbaketa barne, pasahitza berrezartzeko funtzioaren bidez. bai GraphQL APIa bai REST mugatzen duten baliabiderik eza eta GraphQL konfigurazio okerra. Bereziki, hautsitako objektu-mailaren baimen-arazoa zerrendaren buru da.

Coursera web aplikazioarekin erabiltzaile arrunt gisa (ikasleak) elkarreraginean ari ginela, duela gutxi ikusitako ikastaroak erabiltzaile interfazean bistaratzen zirela ohartu ginen. Informazio hori irudikatzeko, API GET eskaera anitz detektatzen ditugu amaierako puntu berera: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

BOLA API ahultasuna kaltetutako erabiltzaileen hobespen gisa deskribatzen da. Ahultasuna aprobetxatuz, erabiltzaile anonimoek ere lehentasunak berreskuratu ahal izan zituzten, baina baita aldatu ere. Hobespen batzuek, hala nola berriki ikusi diren ikastaroak eta ziurtagiriak, metadatu batzuk ere iragazten dituzte. APIetan BOLA akatsak amaierako puntuak azal ditzake objektu identifikatzaileak maneiatzen dituztenak, eraso zabalagoetarako atea ireki dezakete.

"Ahultasun hori gehiegikeria izan liteke erabiltzaile orokorren eskarmentu handiko ikastaroen hobespenak ulertzeko, baina baita erabiltzaileen aukerak nolabait okertzeko ere, azkeneko jardueraren manipulazioak Coursera hasierako orrialdean aurkeztutako edukia berariazko eragin baitzuen erabiltzailea ", azaldu dute ikertzaileek.

"Zoritxarrez, baimen arazoak nahiko ohikoak dira APIekin", diote ikerlariek. “Oso garrantzitsua da sarbide kontrolaren balidazioak osagai bakarrean zentralizatzea, ondo probatuta, etengabe probatuta eta modu aktiboan mantentzen direnak. API amaierako puntu berriak edo lehendik daudenen aldaketak arretaz aztertu beharko lirateke segurtasun eskakizunen arabera. "

Ikertzaileek adierazi dute baimen arazoak nahiko ohikoak direla APIekin eta, horregatik, garrantzitsua dela sarbide kontrolaren balidazioak zentralizatzea. Hori egitea mantentze-laneko osagai bakar baten bidez probatu behar da.

Aurkitutako ahultasunak Courseraren segurtasun taldeari bidali zitzaizkion urriaren 5ean. Konpainiak txostena jaso eta lanean ari zela berretsi zuen urriaren 26an, eta ondoren Courserak Cherkmarx-i idatzi zuen esanez abenduaren 18an urtarrilaren 2ra arte konpondu zituztela arazoak eta Courserak orduan arazo berri batekin test berriaren txostena bidali zuen. Azkenean, Maiatzaren 24an, Courserak baieztatu zuen arazo guztiak konpondu zirela.

Agerian utzi eta zuzendu arte nahiko denbora luzea izan den arren, ikertzaileek esan dute Coursera segurtasun taldea gustura aritu dela lanean.

"Beren profesionaltasuna eta lankidetza, baita bere gain hartu zuten jabetza azkarra ere, espero dugu software enpresekin harremanetan jartzeko", amaitu dute.

Fuente: https://www.checkmarx.com


Artikuluaren edukia gure printzipioekin bat dator etika editoriala. Akats baten berri emateko egin klik hemen.

Idatzi lehenengo iruzkina

Utzi zure iruzkina

Zure helbide elektronikoa ez da argitaratuko. Beharrezko eremuak markatuta daude *

*

*

  1. Datuen arduraduna: Miguel Ángel Gatón
  2. Datuen xedea: SPAM kontrolatzea, iruzkinen kudeaketa.
  3. Legitimazioa: Zure baimena
  4. Datuen komunikazioa: datuak ez zaizkie hirugarrenei jakinaraziko legezko betebeharrez izan ezik.
  5. Datuak biltegiratzea: Occentus Networks-ek (EB) ostatatutako datu-basea
  6. Eskubideak: Edonoiz zure informazioa mugatu, berreskuratu eta ezabatu dezakezu.