कौरसेरा एपीआई में एक भेद्यता उपयोगकर्ता डेटा के रिसाव की अनुमति दे सकती है

कुछ दिनों पहले लोकप्रिय ऑनलाइन पाठ्यक्रम मंच कौरसेरा में एक भेद्यता का खुलासा किया गया था और यह है कि उसकी समस्या एपीआई में थी, इसलिए ऐसा माना जाता है कि यह बहुत संभव है कि हैकर्स ने "बोला" भेद्यता का दुरुपयोग किया हो उपयोगकर्ताओं की पाठ्यक्रम प्राथमिकताओं को समझने के साथ-साथ उपयोगकर्ता के पाठ्यक्रम विकल्पों को तिरछा करने के लिए।

इसके अलावा, यह भी माना जाता है कि हाल ही में सामने आई कमजोरियों ने मरम्मत से पहले उपयोगकर्ता डेटा को उजागर किया हो सकता है। इन के शोधकर्ताओं द्वारा खोजी गई खामियां आवेदन सुरक्षा परीक्षण कंपनी चैकमेक्स और पिछले सप्ताह के दौरान प्रकाशित।

कमजोरियों कौरसेरा एप्लिकेशन प्रोग्रामिंग इंटरफेस की एक किस्म से संबंधित हैं और शोधकर्ताओं ने COVID-19 महामारी के कारण काम पर स्विच करने और ऑनलाइन सीखने के माध्यम से इसकी बढ़ती लोकप्रियता के कारण कौरसेरा की सुरक्षा में तल्लीन करने का निर्णय लिया।

कौरसेरा से अपरिचित लोगों के लिए, आपको पता होना चाहिए कि यह एक ऐसी कंपनी है जिसके 82 मिलियन उपयोगकर्ता हैं और 200 से अधिक कंपनियों और विश्वविद्यालयों के साथ काम करते हैं। उल्लेखनीय साझेदारियों में इलिनोइस विश्वविद्यालय, ड्यूक विश्वविद्यालय, Google, मिशिगन विश्वविद्यालय, अंतर्राष्ट्रीय व्यापार मशीन, इंपीरियल कॉलेज लंदन, स्टैनफोर्ड विश्वविद्यालय और पेंसिल्वेनिया विश्वविद्यालय शामिल हैं।

पासवर्ड रीसेट सुविधा के माध्यम से उपयोगकर्ता / खाता गणना सहित विभिन्न एपीआई मुद्दों की खोज की गई, GraphQL API और REST, और गलत GraphQL कॉन्फ़िगरेशन दोनों को सीमित करने वाले संसाधनों की कमी। विशेष रूप से, एक टूटी हुई वस्तु स्तर प्राधिकरण समस्या सूची में सबसे ऊपर है।

कौरसेरा वेब एप्लिकेशन के साथ नियमित उपयोगकर्ताओं (छात्रों) के रूप में बातचीत करते समय, हमने देखा कि हाल ही में देखे गए पाठ्यक्रम यूजर इंटरफेस में प्रदर्शित किए गए थे। इस जानकारी का प्रतिनिधित्व करने के लिए, हम एक ही समापन बिंदु पर कई API GET अनुरोधों का पता लगाते हैं: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}।

BOLA API भेद्यता को प्रभावित उपयोगकर्ता प्राथमिकताओं के रूप में वर्णित किया गया है। भेद्यता का लाभ उठाते हुए, अनाम उपयोगकर्ता भी वरीयताओं को पुनः प्राप्त करने में सक्षम थे, लेकिन उन्हें बदल भी सकते थे। कुछ प्राथमिकताएं, जैसे हाल ही में देखे गए पाठ्यक्रम और प्रमाणन, कुछ मेटाडेटा को भी फ़िल्टर कर देती हैं। एपीआई में बोला दोष एंडपॉइंट को उजागर कर सकते हैं जो वस्तु पहचानकर्ताओं को संभालता है, जो व्यापक हमलों के द्वार खोल सकता है।

«इस भेद्यता का बड़े पैमाने पर सामान्य उपयोगकर्ताओं की पाठ्यक्रम वरीयताओं को समझने के लिए दुरुपयोग किया जा सकता था, लेकिन उपयोगकर्ताओं की पसंद को किसी तरह से तिरछा करने के लिए भी, क्योंकि उनकी हाल की गतिविधि के हेरफेर ने होम पेज कौरसेरा पर प्रस्तुत सामग्री को एक विशिष्ट के लिए प्रभावित किया था। उपयोगकर्ता, ”शोधकर्ता बताते हैं।

"दुर्भाग्य से, एपीआई के साथ प्राधिकरण की समस्याएं काफी आम हैं," शोधकर्ताओं का कहना है। "एक घटक में अभिगम नियंत्रण सत्यापन को केंद्रीकृत करना बहुत महत्वपूर्ण है, अच्छी तरह से परीक्षण किया गया, निरंतर परीक्षण किया गया और सक्रिय रूप से बनाए रखा गया। नए एपीआई समापन बिंदु, या मौजूदा में परिवर्तन, उनकी सुरक्षा आवश्यकताओं के खिलाफ सावधानीपूर्वक समीक्षा की जानी चाहिए।"

शोधकर्ताओं ने नोट किया कि एपीआई के साथ प्राधिकरण की समस्याएं काफी आम हैं और इस तरह अभिगम नियंत्रण सत्यापन को केंद्रीकृत करना महत्वपूर्ण है। ऐसा करना एक एकल, अच्छी तरह से परीक्षण किए गए और चल रहे रखरखाव घटक के माध्यम से होना चाहिए।

खोजी गई कमजोरियों को 5 अक्टूबर को कौरसेरा की सुरक्षा टीम को प्रस्तुत किया गया था. पुष्टि है कि कंपनी ने रिपोर्ट प्राप्त की और उस पर काम कर रहा था 26 अक्टूबर को आया, और कौरसेरा ने बाद में चेर्कमारक्स को लिखा कि उन्होंने 18 दिसंबर से 2 जनवरी तक मुद्दों को हल कर लिया था और कौरसेरा ने एक नई समस्या के साथ नए परीक्षण की रिपोर्ट भेजी थी। आखिरकार, 24 मई को कौरसेरा ने पुष्टि की कि सभी मुद्दों को ठीक कर दिया गया है।

प्रकटीकरण से सुधार तक लंबे समय के बावजूद, शोधकर्ताओं ने कहा कि कौरसेरा सुरक्षा टीम के साथ काम करने में खुशी हुई।

उन्होंने निष्कर्ष निकाला, "उनकी व्यावसायिकता और सहयोग, साथ ही साथ उन्होंने जो तेजी से स्वामित्व ग्रहण किया, वह वही है जो हम सॉफ्टवेयर कंपनियों के साथ जुड़ते समय देखते हैं।"

Fuente: https://www.checkmarx.com


पहली टिप्पणी करने के लिए

अपनी टिप्पणी दर्ज करें

आपका ईमेल पता प्रकाशित नहीं किया जाएगा। आवश्यक फ़ील्ड के साथ चिह्नित कर रहे हैं *

*

*

  1. डेटा के लिए जिम्मेदार: मिगुएल elngel Gatón
  2. डेटा का उद्देश्य: नियंत्रण स्पैम, टिप्पणी प्रबंधन।
  3. वैधता: आपकी सहमति
  4. डेटा का संचार: डेटा को कानूनी बाध्यता को छोड़कर तीसरे पक्ष को संचार नहीं किया जाएगा।
  5. डेटा संग्रहण: ऑकेंटस नेटवर्क्स (EU) द्वारा होस्ट किया गया डेटाबेस
  6. अधिकार: किसी भी समय आप अपनी जानकारी को सीमित, पुनर्प्राप्त और हटा सकते हैं।