Coursera API-дегі осалдық пайдаланушы деректерінің ағып кетуіне мүмкіндік беруі мүмкін

Бірнеше күн бұрын осалдық танымал Coursera онлайн курстық платформасында ашылды және оның проблемасы API-де болды, сондықтан хакерлердің «BOLA» осалдығын асыра пайдалануы әбден мүмкін деп санайды пайдаланушылардың курстық қалауын түсіну, сондай-ақ пайдаланушының курстық нұсқаларын бұру.

Сонымен қатар, жақында анықталған осалдықтар жөндеуден бұрын пайдаланушының деректерін ашуы мүмкін деп есептеледі. Мыналар кемшіліктерді зерттеушілер анықтады қолданбалы қауіпсіздікті тексеретін компания Checkmarx және өткен аптада жарияланды.

Осалдықтар әр түрлі Coursera бағдарламалық интерфейстеріне қатысты және зерттеушілер CovID-19 пандемиясының кесірінен жұмысқа ауысу және онлайн-оқыту арқылы танымалдығының артуына байланысты Coursera қауіпсіздігін тереңірек қарастыруға шешім қабылдады.

Coursera-ны білмейтіндер үшін бұл 82 миллион қолданушысы бар және 200-ден астам компаниялармен және университеттермен жұмыс жасайтын компания екенін білуіңіз керек. Белгілі серіктестіктерге Иллинойс Университеті, Дьюк Университеті, Google, Мичиган Университеті, Халықаралық Бизнес Машиналары, Лондон Империал Колледжі, Стэнфорд Университеті және Пенсильвания Университеті жатады.

Әр түрлі API мәселелері анықталды, соның ішінде парольді қалпына келтіру мүмкіндігі арқылы пайдаланушы / есептік жазба, GraphQL API мен REST-ті шектейтін ресурстардың болмауы және дұрыс емес GraphQL конфигурациясы. Атап айтқанда, бұзылған объект деңгейіндегі авторизация мәселесі тізімнің басында тұр.

Тұрақты қолданушылар (студенттер) ретінде Coursera веб-қосымшасымен өзара әрекеттесу кезінде біз жақында қаралған курстар қолданушы интерфейсінде көрсетілгенін байқадық. Осы ақпаратты ұсыну үшін біз бірнеше API GET сұрауларын бір соңғы нүктеде анықтаймыз: /api/userPreferences.v1/(USER_ID-lex.europa.eu~(PREFERENCE_TYPE}.

BOLA API осалдығы пайдаланушының қалауы ретінде сипатталады. Осалдықты пайдаланып, тіпті жасырын пайдаланушылар да артықшылықтарды ала алды, бірақ оларды өзгерте алды. Жақында қаралған курстар мен сертификаттар сияқты кейбір артықшылықтар кейбір метадеректерді сүзеді. API-дегі BOLA кемшіліктері соңғы нүктелерді көрсете алады кеңірек шабуылдарға жол ашатын объект идентификаторларын басқаратын.

«Бұл осалдықты жалпы пайдаланушылардың курс таңдауларын кең ауқымда түсіну үшін, сондай-ақ пайдаланушылардың таңдауын қандай-да бір жолмен бұру үшін асыра пайдаланған болар еді, өйткені олардың соңғы әрекеттерін манипуляциялау Coursera басты бетінде көрсетілген мазмұнға әсер етті. пайдаланушы », - деп түсіндіреді зерттеушілер.

«Өкінішке орай, авторизация проблемалары API-мен жиі кездеседі» дейді зерттеушілер. «Жақсы тексерілген, үздіксіз тексерілген және белсенді қызмет көрсететін бір компонентте қол жетімділікті тексеруді орталықтандыру өте маңызды. Жаңа API нүктелері немесе қолданыстағы өзгертулер олардың қауіпсіздік талаптарына сәйкес мұқият қаралуы керек.

Зерттеушілер авторизациялау проблемалары API-мен жиі кездесетінін, сондықтан қол жетімділікті тексеруді орталықтандыру маңызды екенін атап өтті. Мұны істеу бірыңғай, жақсы тексерілген және тұрақты қызмет көрсету компоненті арқылы болуы керек.

Табылған осалдықтар Coursera қауіпсіздік тобына 5 қазанда ұсынылды. Компания есепті алғанын және онымен жұмыс істейтінін растау 26 қазанда келді, содан кейін Coursera Cherkmarx-қа 18 желтоқсаннан 2 қаңтарға дейін мәселелерді шештік деп жазды, содан кейін Coursera жаңа тесті туралы есеп жіберді. Соңында, 24 мамырда Coursera барлық мәселелер шешілгенін растады.

Ашылудан түзетуге дейінгі ұзақ уақытқа қарамастан, зерттеушілер Coursera қауіпсіздік тобы жұмыс істеуге қуанышты екенін айтты.

«Олардың кәсіпқойлығы мен ынтымақтастығы, сондай-ақ тез иелік ету - біз бағдарламалық жасақтама компанияларымен қарым-қатынас кезінде асыға күтеміз», - деп қорытындылады олар.

Дерек көзі: https://www.checkmarx.com


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

Бірінші болып пікір айтыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады. Міндетті өрістер таңбаланған *

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.