یک آسیب پذیری در Coursera API می تواند باعث نشت اطلاعات کاربر شود

چند روز قبل یک آسیب پذیری در پلت فرم محبوب دوره های آنلاین Coursera فاش شد و این که مشکلی که او داشت در API بود ، بنابراین اعتقاد بر این است که بسیار ممکن است هکرها از آسیب پذیری "BOLA" سوused استفاده کرده باشند برای درک ترجیحات دوره کاربران ، و همچنین انحراف در گزینه های دوره کاربر.

علاوه بر این ، همچنین اعتقاد بر این است که آسیب پذیری های اخیراً آشکار شده می توانند اطلاعات کاربر را قبل از ترمیم در معرض دید قرار دهند. اینها نقص توسط محققان از کشف شد نرم افزار شرکت تست امنیت چک مارکس و در هفته گذشته منتشر شده است.

آسیب پذیری به انواع رابط های برنامه نویسی برنامه Coursera مربوط می شوند و محققان تصمیم گرفتند به دلیل محبوبیت روزافزون Coursera از طریق تغییر کار و یادگیری آنلاین به دلیل همه گیری COVID-19 ، به امنیت آن بپردازند.

برای کسانی که با Coursera آشنا نیستند ، باید بدانید که این شرکتی است که 82 میلیون کاربر دارد و با بیش از 200 شرکت و دانشگاه کار می کند. مشارکت های قابل توجه شامل دانشگاه ایلینوی ، دانشگاه دوک ، گوگل ، دانشگاه میشیگان ، ماشین های تجارت بین الملل ، کالج امپریال لندن ، دانشگاه استنفورد و دانشگاه پنسیلوانیا است.

مشکلات مختلف API از جمله شمارش کاربر / حساب از طریق ویژگی بازنشانی رمز عبور کشف شد کمبود منابع برای محدود کردن GraphQL API و REST و پیکربندی نادرست GraphQL. به طور خاص ، یک مسئله مجوز سطح شی شکسته در بالای لیست قرار دارد.

هنگام تعامل با برنامه وب Coursera به عنوان کاربران عادی (دانشجویان) ، متوجه شدیم که دوره های اخیراً مشاهده شده در رابط کاربری نمایش داده می شوند. برای نشان دادن این اطلاعات ، چندین درخواست API GET را در همان نقطه پایانی شناسایی می کنیم: /api/userPreferences.v1/ceptsUSER_ID-lex.europa.eu~rorsPREFERENCE_TYPE}.

آسیب پذیری BOLA API به عنوان تنظیمات برگزیده کاربر تحت تأثیر قرار گرفته است. با استفاده از این آسیب پذیری ، حتی کاربران ناشناس نیز توانستند تنظیمات برگزیده را بازیابی کنند ، اما همچنین آنها را تغییر دهند. برخی از تنظیمات برگزیده ، مانند دوره ها و گواهینامه هایی که اخیراً مشاهده کرده اید ، برخی از فراداده ها را نیز فیلتر می کند. نقص BOLA در API می تواند نقاط نهایی را آشکار کند که شناسه های اشیا handle را کنترل می کند ، که می تواند در را برای حملات گسترده تر باز کند.

"این آسیب پذیری می تواند برای درک ترجیحات دوره های عمومی کاربران در مقیاس وسیع سو but استفاده شود ، اما همچنین به نوعی می تواند گزینه های کاربران را منحرف کند ، زیرا دستکاری در فعالیت های اخیر آنها بر محتوای ارائه شده در صفحه اصلی Coursera برای یک خاص تأثیر می گذارد کاربر ، "محققان توضیح می دهند.

محققان می گویند: "متأسفانه ، مشکلات مجوز در API ها کاملاً رایج است." "بسیار مهم است که اعتبار سنجی کنترل دسترسی را در یک جز single آزمایش شده ، آزمایش مداوم و فعال نگه دارید. نقاط پایانی API جدید یا تغییر در موارد موجود ، باید با دقت در برابر الزامات امنیتی آنها بررسی شود.

محققان خاطرنشان کردند که مشکلات مجوز در API ها کاملاً رایج است و به همین ترتیب مهم است که اعتبار سنجی کنترل دسترسی متمرکز شود. انجام این کار باید از طریق یک م maintenanceلفه نگهداری واحد ، کاملاً آزمایش شده و مداوم انجام شود.

آسیب پذیری های کشف شده در تاریخ 5 اکتبر به تیم امنیتی Coursera ارسال شد. تأیید اینکه این شرکت گزارش را دریافت کرده و در حال کار بر روی آن بود ، در تاریخ 26 اکتبر آمد و Coursera متعاقباً Cherkmarx را نوشت که آنها مشکلات را از 18 دسامبر تا 2 ژانویه حل کرده اند و Coursera سپس گزارش آزمایش جدید را با یک مشکل جدید ارسال کرده است. سرانجام، در 24 مه ، کورسرا تأیید کرد که همه مشکلات برطرف شده است.

علیرغم زمان نسبتاً طولانی از افشای اطلاعات تا تصحیح ، محققان گفتند که تیم امنیتی Coursera کار با آنها خوشحال کننده است.

آنها نتیجه گرفتند: "حرفه ای بودن و همکاری آنها ، و همچنین مالکیت سریعی که آنها تصور کردند ، همان چیزی است که ما در هنگام تعامل با شرکت های نرم افزاری منتظر آن هستیم."

Fuente: https://www.checkmarx.com


محتوای مقاله به اصول ما پیوست اخلاق تحریریه. برای گزارش یک خطا کلیک کنید اینجا.

اولین کسی باشید که نظر

نظر خود را بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخشهای موردنیاز علامتگذاری شدهاند با *

*

*

  1. مسئول داده ها: میگل آنخل گاتون
  2. هدف از داده ها: کنترل هرزنامه ، مدیریت نظرات.
  3. مشروعیت: رضایت شما
  4. ارتباط داده ها: داده ها به اشخاص ثالث منتقل نمی شوند مگر با تعهد قانونی.
  5. ذخیره سازی داده ها: پایگاه داده به میزبانی شبکه های Occentus (EU)
  6. حقوق: در هر زمان می توانید اطلاعات خود را محدود ، بازیابی و حذف کنید.