કoursર્સરા API માં નબળાઇ વપરાશકર્તા ડેટાના લિકને મંજૂરી આપી શકે છે

થોડા દિવસો પહેલા લોકપ્રિય ઓનલાઈન કોર્સ પ્લેટફોર્મ Coursera માં નબળાઈ જાહેર કરવામાં આવી હતી અને તેને જે સમસ્યા હતી તે API માં હતી, તેથી એવું માનવામાં આવે છે કે તે ખૂબ જ સંભવ છે કે હેકર્સ નબળાઈ "BOLA" નો દુરુપયોગ કરી શકે છે. વપરાશકર્તાઓની કોર્સ પસંદગીઓને સમજવા માટે, તેમજ વપરાશકર્તાના કોર્સ વિકલ્પોને ત્રાંસુ કરવા માટે.

હકીકત એ છે કે તે ઉપરાંત એવું પણ માનવામાં આવે છે કે તાજેતરમાં જાહેર કરાયેલી નબળાઈઓ રિપેર કરતા પહેલા વપરાશકર્તાના ડેટાને ખુલ્લા કરી શકે છે. આ ના સંશોધકો દ્વારા ખામીઓ શોધી કાઢવામાં આવી હતી એપ્લિકેશન સુરક્ષા પરીક્ષણ કંપની ચેકમાર્ક્સ અને છેલ્લા અઠવાડિયા દરમિયાન પ્રકાશિત.

નબળાઈઓ Coursera એપ્લિકેશન પ્રોગ્રામિંગ ઇન્ટરફેસની વિવિધતા સાથે સંબંધિત છે અને કોવિડ-19 રોગચાળાને કારણે કાર્ય પર સ્વિચ કરવા અને ઑનલાઇન શિક્ષણ દ્વારા તેની વધતી જતી લોકપ્રિયતાને કારણે સંશોધકોએ Coursera ની સુરક્ષામાં ધ્યાન આપવાનું નક્કી કર્યું.

જેઓ Coursera થી અજાણ છે, તમારે જાણવું જોઈએ કે આ એક એવી કંપની છે જેના 82 મિલિયન વપરાશકર્તાઓ છે અને 200 થી વધુ કંપનીઓ અને યુનિવર્સિટીઓ સાથે કામ કરે છે. નોંધપાત્ર ભાગીદારીમાં યુનિવર્સિટી ઓફ ઇલિનોઇસ, ડ્યુક યુનિવર્સિટી, ગૂગલ, યુનિવર્સિટી ઓફ મિશિગન, ઇન્ટરનેશનલ બિઝનેસ મશીન્સ, ઇમ્પિરિયલ કોલેજ લંડન, સ્ટેનફોર્ડ યુનિવર્સિટી અને પેન્સિલવેનિયા યુનિવર્સિટીનો સમાવેશ થાય છે.

પાસવર્ડ રીસેટ સુવિધા દ્વારા વપરાશકર્તા / એકાઉન્ટની ગણતરી સહિત વિવિધ API સમસ્યાઓ મળી આવી હતી, GraphQL API અને REST બંનેને મર્યાદિત કરતા સંસાધનોનો અભાવ અને ખોટી GraphQL ગોઠવણી. ખાસ કરીને, તૂટેલા ઑબ્જેક્ટ લેવલની અધિકૃતતાની સમસ્યા સૂચિમાં ટોચ પર છે.

નિયમિત વપરાશકર્તાઓ (વિદ્યાર્થીઓ) તરીકે Coursera વેબ એપ્લિકેશન સાથે ક્રિયાપ્રતિક્રિયા કરતી વખતે, અમે નોંધ્યું છે કે તાજેતરમાં જોયેલા અભ્યાસક્રમો વપરાશકર્તા ઇન્ટરફેસમાં પ્રદર્શિત થયા હતા. આ માહિતીનું પ્રતિનિધિત્વ કરવા માટે, અમે સમાન અંતિમ બિંદુ પર બહુવિધ API GET વિનંતીઓ શોધીએ છીએ: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.

BOLA API નબળાઈને અસરગ્રસ્ત વપરાશકર્તા પસંદગીઓ તરીકે વર્ણવવામાં આવી છે. નબળાઈનો લાભ લઈને, અનામી વપરાશકર્તાઓ પણ પસંદગીઓ પુનઃપ્રાપ્ત કરવામાં સક્ષમ હતા, પણ તેમને બદલવામાં પણ સક્ષમ હતા. કેટલીક પસંદગીઓ, જેમ કે તાજેતરમાં જોવાયેલા અભ્યાસક્રમો અને પ્રમાણપત્રો, કેટલાક મેટાડેટાને પણ ફિલ્ટર કરે છે. API માં BOLA ક્ષતિઓ અંતિમ બિંદુઓને છતી કરી શકે છે જે ઑબ્જેક્ટ આઇડેન્ટિફાયરને હેન્ડલ કરે છે, જે વ્યાપક હુમલાઓ માટે દરવાજા ખોલી શકે છે.

આ નબળાઈનો મોટા પાયે સામાન્ય વપરાશકર્તાઓની અભ્યાસક્રમ પસંદગીઓને સમજવા માટે દુરુપયોગ કરવામાં આવી શકે છે, પરંતુ અમુક રીતે વપરાશકર્તાઓની પસંદગીઓને પણ ત્રાંસી કરવામાં આવી શકે છે, કારણ કે તેમની તાજેતરની પ્રવૃત્તિની હેરાફેરી ચોક્કસ વપરાશકર્તા માટે હોમ પેજ Coursera પર પ્રસ્તુત સામગ્રીને અસર કરે છે. , ”સંશોધકો સમજાવે છે.

"દુર્ભાગ્યે, APIs સાથે અધિકૃતતાની સમસ્યાઓ એકદમ સામાન્ય છે," સંશોધકો કહે છે. “એક કમ્પોનન્ટમાં એક્સેસ કંટ્રોલ માન્યતાઓનું કેન્દ્રિયકરણ કરવું ખૂબ જ મહત્વપૂર્ણ છે, સારી રીતે ચકાસાયેલ, સતત પરીક્ષણ અને સક્રિય રીતે જાળવવામાં આવે છે. નવા API એન્ડપોઇન્ટ્સ, અથવા હાલનામાં ફેરફારો, તેમની સુરક્ષા જરૂરિયાતો સામે કાળજીપૂર્વક સમીક્ષા કરવી જોઈએ."

સંશોધકોએ નોંધ્યું હતું કે APIs સાથે અધિકૃતતાની સમસ્યાઓ એકદમ સામાન્ય છે અને જેમ કે એક્સેસ કંટ્રોલ માન્યતાઓને કેન્દ્રિય બનાવવી મહત્વપૂર્ણ છે. આમ કરવું એ એકલ, સારી રીતે ચકાસાયેલ અને ચાલુ જાળવણી ઘટક દ્વારા હોવું જોઈએ.

શોધાયેલ નબળાઈઓ 5 ઓક્ટોબરના રોજ કોર્સેરાની સુરક્ષા ટીમને સબમિટ કરવામાં આવી હતી. કંપનીને રિપોર્ટ મળ્યો છે અને તેના પર કામ કરી રહી છે તેની પુષ્ટિ 26 ઓક્ટોબરના રોજ આવી હતી, અને કોર્સેરાએ ત્યારબાદ ચેર્કમાર્ક્સને લખ્યું હતું કે તેઓએ 18 ડિસેમ્બરથી 2 જાન્યુઆરી સુધી સમસ્યાઓનું નિરાકરણ કર્યું છે અને કોર્સેરાએ નવી સમસ્યા સાથે નવા પરીક્ષણનો રિપોર્ટ મોકલ્યો છે. છેવટે, 24 મેના રોજ, કોર્સેરાએ પુષ્ટિ કરી કે બધી સમસ્યાઓ ઠીક થઈ ગઈ છે.

જાહેરાતથી સુધારણા સુધીનો ઘણો લાંબો સમય હોવા છતાં, સંશોધકોએ કહ્યું કે Coursera સુરક્ષા ટીમ સાથે કામ કરવામાં આનંદ થયો.

"તેમની વ્યાવસાયીકરણ અને સહકાર, તેમજ તેઓએ ધારેલી ઝડપી માલિકી, સોફ્ટવેર કંપનીઓ સાથે જોડાતી વખતે અમે જેની આતુરતાથી રાહ જોઈ રહ્યા છીએ," તેઓએ તારણ કાઢ્યું.

સ્રોત: https://www.checkmarx.com


લેખની સામગ્રી અમારા સિદ્ધાંતોનું પાલન કરે છે સંપાદકીય નૈતિકતા. ભૂલની જાણ કરવા માટે ક્લિક કરો અહીં.

ટિપ્પણી કરવા માટે સૌ પ્રથમ બનો

તમારી ટિપ્પણી મૂકો

તમારું ઇમેઇલ સરનામું પ્રકાશિત કરવામાં આવશે નહીં.

*

*

  1. ડેટા માટે જવાબદાર: મિગ્યુએલ gelંજેલ ગેટóન
  2. ડેટાનો હેતુ: નિયંત્રણ સ્પામ, ટિપ્પણી સંચાલન.
  3. કાયદો: તમારી સંમતિ
  4. ડેટાની વાતચીત: કાયદાકીય જવાબદારી સિવાય ડેટા તૃતીય પક્ષને આપવામાં આવશે નહીં.
  5. ડેટા સ્ટોરેજ: cસેન્ટસ નેટવર્ક્સ (ઇયુ) દ્વારા હોસ્ટ કરેલો ડેટાબેઝ
  6. અધિકાર: કોઈપણ સમયે તમે તમારી માહિતીને મર્યાદિત, પુન recoverપ્રાપ્ત અને કા deleteી શકો છો.

બૂલ (સાચું)