数日前 人気のあるオンラインコースプラットフォームCourseraに脆弱性が公開されました 彼が抱えていた問題はAPIにあったので、 ハッカーが脆弱性「BOLA」を悪用した可能性が非常に高いと考えられています ユーザーのコース設定を理解するため、およびユーザーのコースオプションを歪曲するため。
さらに、最近明らかになった脆弱性は、修復される前にユーザーデータを公開した可能性があるとも考えられています。 これら 欠陥はからの研究者によって発見されました アプリケーションセキュリティテスト会社 チェックマーク 先週公開されました。
脆弱性 さまざまなCourseraアプリケーションプログラミングインターフェイスに関連する 研究者たちは、COVID-19のパンデミックにより、仕事への切り替えやオンライン学習を通じて人気が高まっているため、Courseraのセキュリティを詳しく調べることにしました。
Courseraに慣れていない方は、これが82万人のユーザーを抱え、200を超える企業や大学と提携している企業であることを知っておく必要があります。 注目すべきパートナーシップには、イリノイ大学、デューク大学、グーグル、ミシガン大学、インターナショナルビジネスマシーンズ、インペリアルカレッジロンドン、スタンフォード大学、ペンシルベニア大学が含まれます。
パスワードリセット機能によるユーザー/アカウントの列挙など、さまざまなAPIの問題が発見されました。 GraphQL APIとRESTの両方を制限するリソースの不足、および誤ったGraphQL構成。 特に、壊れたオブジェクトレベルの承認の問題がリストの上位にあります。
通常のユーザー(学生)としてCoursera Webアプリケーションを操作すると、最近表示したコースがユーザーインターフェイスに表示されていることがわかりました。 この情報を表すために、同じエンドポイント/api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}への複数のAPIGETリクエストを検出します。
BOLA APIの脆弱性は、影響を受けるユーザー設定として説明されています。 この脆弱性を利用して、匿名ユーザーでも設定を取得したり、変更したりすることができました。 最近表示したコースや認定資格など、一部の設定でも一部のメタデータが除外されます。 APIのBOLAの欠陥により、エンドポイントが公開される可能性があります オブジェクト識別子を処理するため、より広範な攻撃への扉が開かれる可能性があります。
「この脆弱性は、一般ユーザーのコース設定を大規模に理解するために悪用された可能性がありますが、最近のアクティビティの操作が特定のホームページCourseraに表示されるコンテンツに影響を与えたため、何らかの方法でユーザーの選択を歪める可能性もあります。ユーザー」と研究者は説明します。
「残念ながら、承認の問題はAPIで非常に一般的です」と研究者は言います。 「アクセス制御の検証を単一のコンポーネントに一元化し、十分にテストし、継続的にテストし、積極的に保守することが非常に重要です。 新しいAPIエンドポイント、または既存のエンドポイントへの変更は、セキュリティ要件に照らして慎重に確認する必要があります。」
研究者は、承認の問題はAPIで非常に一般的であり、そのため、アクセス制御の検証を一元化することが重要であると指摘しました。 これを行うには、十分にテストされた単一の継続的なメンテナンスコンポーネントを使用して行う必要があります。
発見された脆弱性は、5月XNUMX日にCourseraのセキュリティチームに提出されました。。 会社がレポートを受け取り、それに取り組んでいることの確認は26月18日に行われ、Courseraはその後2月XNUMX日からXNUMX月XNUMX日に問題を解決したとCherkmarxに書き込み、Courseraは新しい問題を含む新しいテストのレポートを送信しました。 最後に、 24月XNUMX日、Courseraはすべての問題が修正されたことを確認しました。
開示から修正までかなり長い時間がかかったにもかかわらず、研究者たちは、Courseraセキュリティチームが一緒に仕事をするのは楽しいことだと言いました。
「彼らのプロ意識と協力、そして彼らが引き受けた迅速な所有権は、ソフトウェア会社と関わるときに私たちが楽しみにしていることです」と彼らは結論付けました。