D’fhéadfadh leochaileacht in API Coursera ligean do sceitheadh ​​sonraí úsáideora

Cúpla lá ó shin nochtadh leochaileacht san ardán cúrsa tóir ar líne Coursera agus an é go raibh an fhadhb a bhí aige san API, mar sin creidtear go bhfuil sé an-indéanta go bhféadfadh hackers mí-úsáid a bhaint as an leochaileacht "BOLA" chun roghanna cúrsa úsáideoirí a thuiscint, chomh maith le roghanna cúrsa úsáideora a sceitheadh.

Ina theannta sin, creidtear freisin go bhféadfadh leochaileachtaí a nochtadh le déanaí sonraí úsáideora a nochtadh sula ndéanfaí iad a dheisiú. Iad seo d'aimsigh taighdeoirí lochtanna ó an chuideachta tástála slándála feidhmchlár Checkmarx agus a foilsíodh le seachtain anuas.

Leochaileachtaí bainfidh siad le héagsúlacht comhéadain cláir iarratais Coursera agus shocraigh na taighdeoirí iniúchadh a dhéanamh ar shlándáil Coursera mar gheall ar an tóir a bhí air ag méadú trí aistriú go hobair agus foghlaim ar líne mar gheall ar an bpaindéim COVID-19.

Dóibh siúd nach bhfuil cur amach acu ar Coursera, ba chóir go mbeadh a fhios agat gur cuideachta í seo a bhfuil 82 milliún úsáideoir aici agus a oibríonn le níos mó ná 200 cuideachta agus ollscoil. I measc na gcomhpháirtíochtaí suntasacha tá Ollscoil Illinois, Ollscoil Duke, Google, Ollscoil Michigan, Meaisíní Gnó Idirnáisiúnta, Imperial College London, Ollscoil Stanford, agus Ollscoil Pennsylvania.

Thángthas ar shaincheisteanna éagsúla API lena n-áirítear áireamh úsáideora / cuntas trí ghné athshocraithe pasfhocal, easpa acmhainní ag teorannú API GraphQL agus REST, agus cumraíocht mícheart GraphQL. Go háirithe, tá saincheist údaraithe leibhéal réada briste ar bharr an liosta.

Agus muid ag idirghníomhú le feidhmchlár gréasáin Coursera mar úsáideoirí rialta (mic léinn), thugamar faoi deara go raibh cúrsaí a breathnaíodh le déanaí ar taispeáint sa chomhéadan úsáideora. Chun an fhaisnéis seo a léiriú, aimsímid iarrataí iomadúla API GET chuig an gcríochphointe céanna: /api/userPreferences.v1/DLEUSER_ID-lex.europa.eu~DLEPREFERENCE_TYPE}.

Déantar cur síos ar leochaileacht API BOLA mar roghanna úsáideora a bhfuil tionchar orthu. Ag baint leasa as an leochaileacht, bhí fiú úsáideoirí gan ainm in ann roghanna a aisghabháil, ach iad a athrú freisin. Scagann cuid de na roghanna, mar shampla cúrsaí agus deimhnithe a breathnaíodh orthu le déanaí, roinnt meiteashonraí. Féadann lochtanna BOLA in APIanna críochphointí a nochtadh a dhéileálann le haitheantóirí réada, a d’fhéadfadh an doras a oscailt d’ionsaithe níos leithne.

«D’fhéadfaí mí-úsáid a bhaint as an leochaileacht seo chun roghanna cúrsaí úsáideoirí ginearálta ar scála mór a thuiscint, ach freisin roghanna úsáideoirí a sceitheadh ​​ar bhealach éigin, toisc go raibh tionchar ag ionramháil a gcuid gníomhaíochta le déanaí ar an ábhar a cuireadh i láthair ar an leathanach baile Coursera go sonrach úsáideoir, ”a mhíníonn na taighdeoirí.

"Ar an drochuair, tá fadhbanna údarúcháin coitianta go leor le APIs," a deir na taighdeoirí. “Tá sé an-tábhachtach bailíochtaí rialaithe rochtana a lárú in aon chomhpháirt amháin, a thástáil go maith, a thástáil go leanúnach agus a chothabháil go gníomhach. Ba cheart críochphointí nua API, nó athruithe ar na cinn atá ann cheana, a athbhreithniú go cúramach i gcoinne a gcuid riachtanas slándála.

Thug na taighdeoirí faoi deara go bhfuil fadhbanna údaraithe coitianta go leor le APIanna agus dá bhrí sin tá sé tábhachtach bailíochtú rialaithe rochtana a lárú. Caithfear é sin a dhéanamh trí chomhpháirt cothabhála leanúnach amháin atá dea-thástáilte agus leanúnach.

Cuireadh leochaileachtaí aimsithe faoi bhráid fhoireann slándála Coursera an 5 Deireadh Fómhair. Tháinig dearbhú go bhfuair an chuideachta an tuarascáil agus go raibh sí ag obair uirthi an 26 Deireadh Fómhair, agus scríobh Coursera Cherkmarx ina dhiaidh sin ag rá gur réitigh siad na saincheisteanna an 18 Nollaig tríd an 2 Eanáir agus ansin sheol Coursera tuarascáil ar thástáil nua le fadhb nua. Ar deireadh, An 24 Bealtaine, dheimhnigh Coursera go raibh gach eagrán socraithe.

In ainneoin an ama sách fada ó nochtadh go ceartú, dúirt na taighdeoirí gur cúis áthais a bheith ag obair le foireann slándála Coursera.

"Is é a ngairmiúlacht agus a gcomhoibriú, chomh maith leis an úinéireacht sciobtha a ghlac siad leis, a bhfuilimid ag tnúth leis agus muid ag dul i dteagmháil le cuideachtaí bogearraí," a dúirt siad.

Fuente: https://www.checkmarx.com


Cloíonn ábhar an ailt lenár bprionsabail eitic eagarthóireachta. Chun earráid a thuairisciú cliceáil anseo.

Bí ar an chéad trácht

Fág do thrácht

Ní thabharfar do sheoladh r-phoist a fhoilsiú. Réimsí riachtanacha atá marcáilte le *

*

*

  1. Freagrach as na sonraí: Miguel Ángel Gatón
  2. Cuspóir na sonraí: SPAM a rialú, bainistíocht trácht.
  3. Legitimation: Do thoiliú
  4. Na sonraí a chur in iúl: Ní chuirfear na sonraí in iúl do thríú páirtithe ach amháin trí oibleagáid dhlíthiúil.
  5. Stóráil sonraí: Bunachar sonraí arna óstáil ag Occentus Networks (EU)
  6. Cearta: Tráth ar bith is féidir leat do chuid faisnéise a theorannú, a aisghabháil agus a scriosadh.