ಕೆಲವು ದಿನಗಳ ಹಿಂದೆ ಜನಪ್ರಿಯ ಆನ್ಲೈನ್ ಕೋರ್ಸ್ ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಕೋರ್ಸೆರಾದಲ್ಲಿ ದುರ್ಬಲತೆಯನ್ನು ಬಹಿರಂಗಪಡಿಸಲಾಗಿದೆ ಮತ್ತು ಅವರು ಹೊಂದಿದ್ದ ಸಮಸ್ಯೆ API ಯಲ್ಲಿದೆ "ಬೋಲಾ" ದ ದುರ್ಬಲತೆಯನ್ನು ಹ್ಯಾಕರ್ಗಳು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳಬಹುದೆಂಬುದು ಬಹಳ ಸಾಧ್ಯ ಎಂದು ನಂಬಲಾಗಿದೆ ಬಳಕೆದಾರರ ಕೋರ್ಸ್ ಆದ್ಯತೆಗಳನ್ನು ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು, ಹಾಗೆಯೇ ಬಳಕೆದಾರರ ಕೋರ್ಸ್ ಆಯ್ಕೆಗಳನ್ನು ಓರೆಯಾಗಿಸಲು.
ಇದಲ್ಲದೆ, ಇತ್ತೀಚೆಗೆ ಬಹಿರಂಗಪಡಿಸಿದ ದೋಷಗಳು ದುರಸ್ತಿ ಮಾಡುವ ಮೊದಲು ಬಳಕೆದಾರರ ಡೇಟಾವನ್ನು ಬಹಿರಂಗಪಡಿಸಬಹುದು ಎಂದು ನಂಬಲಾಗಿದೆ. ಇವು ನ್ಯೂನತೆಗಳನ್ನು ಸಂಶೋಧಕರು ಕಂಡುಹಿಡಿದಿದ್ದಾರೆ ಅಪ್ಲಿಕೇಶನ್ ಭದ್ರತಾ ಪರೀಕ್ಷಾ ಕಂಪನಿ ಚೆಕ್ಮಾರ್ಕ್ಸ್ ಮತ್ತು ಕಳೆದ ವಾರದಲ್ಲಿ ಪ್ರಕಟಿಸಲಾಗಿದೆ.
ದುರ್ಬಲತೆಗಳು ವಿವಿಧ ಕೋರ್ಸೆರಾ ಅಪ್ಲಿಕೇಶನ್ ಪ್ರೋಗ್ರಾಮಿಂಗ್ ಇಂಟರ್ಫೇಸ್ಗಳಿಗೆ ಸಂಬಂಧಿಸಿದೆ ಮತ್ತು COVID-19 ಸಾಂಕ್ರಾಮಿಕ ರೋಗದಿಂದಾಗಿ ಕೋರ್ಸೇರಾವು ಕೆಲಸಕ್ಕೆ ಬದಲಾಯಿಸುವ ಮೂಲಕ ಮತ್ತು ಆನ್ಲೈನ್ ಕಲಿಕೆಯ ಮೂಲಕ ಹೆಚ್ಚುತ್ತಿರುವ ಜನಪ್ರಿಯತೆಯಿಂದಾಗಿ ಅದರ ಸುರಕ್ಷತೆಯನ್ನು ಪರಿಶೀಲಿಸಲು ಸಂಶೋಧಕರು ನಿರ್ಧರಿಸಿದ್ದಾರೆ.
ಕೋರ್ಸೇರಾ ಪರಿಚಯವಿಲ್ಲದವರಿಗೆ, ಇದು 82 ಮಿಲಿಯನ್ ಬಳಕೆದಾರರನ್ನು ಹೊಂದಿರುವ ಮತ್ತು 200 ಕ್ಕೂ ಹೆಚ್ಚು ಕಂಪನಿಗಳು ಮತ್ತು ವಿಶ್ವವಿದ್ಯಾಲಯಗಳೊಂದಿಗೆ ಕೆಲಸ ಮಾಡುವ ಕಂಪನಿಯಾಗಿದೆ ಎಂದು ನೀವು ತಿಳಿದುಕೊಳ್ಳಬೇಕು. ಗಮನಾರ್ಹ ಪಾಲುದಾರಿಕೆಗಳಲ್ಲಿ ಇಲಿನಾಯ್ಸ್ ವಿಶ್ವವಿದ್ಯಾಲಯ, ಡ್ಯೂಕ್ ವಿಶ್ವವಿದ್ಯಾಲಯ, ಗೂಗಲ್, ಮಿಚಿಗನ್ ವಿಶ್ವವಿದ್ಯಾಲಯ, ಅಂತರರಾಷ್ಟ್ರೀಯ ವ್ಯಾಪಾರ ಯಂತ್ರಗಳು, ಇಂಪೀರಿಯಲ್ ಕಾಲೇಜು ಲಂಡನ್, ಸ್ಟ್ಯಾನ್ಫೋರ್ಡ್ ವಿಶ್ವವಿದ್ಯಾಲಯ ಮತ್ತು ಪೆನ್ಸಿಲ್ವೇನಿಯಾ ವಿಶ್ವವಿದ್ಯಾಲಯ ಸೇರಿವೆ.
ಪಾಸ್ವರ್ಡ್ ಮರುಹೊಂದಿಸುವ ವೈಶಿಷ್ಟ್ಯದ ಮೂಲಕ ಬಳಕೆದಾರ / ಖಾತೆ ಎಣಿಕೆ ಸೇರಿದಂತೆ ವಿವಿಧ API ಸಮಸ್ಯೆಗಳನ್ನು ಕಂಡುಹಿಡಿಯಲಾಗಿದೆ, ಗ್ರಾಫ್ಕ್ಯೂಎಲ್ ಎಪಿಐ ಮತ್ತು ರೆಸ್ಟ್ ಎರಡನ್ನೂ ಸೀಮಿತಗೊಳಿಸುವ ಸಂಪನ್ಮೂಲಗಳ ಕೊರತೆ ಮತ್ತು ತಪ್ಪಾದ ಗ್ರಾಫ್ಕ್ಯೂಎಲ್ ಕಾನ್ಫಿಗರೇಶನ್. ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಮುರಿದ ವಸ್ತು ಮಟ್ಟದ ದೃ issue ೀಕರಣ ಸಮಸ್ಯೆಯು ಪಟ್ಟಿಯಲ್ಲಿ ಅಗ್ರಸ್ಥಾನದಲ್ಲಿದೆ.
ಕೋರ್ಸೆರಾ ವೆಬ್ ಅಪ್ಲಿಕೇಶನ್ನೊಂದಿಗೆ ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರಾಗಿ (ವಿದ್ಯಾರ್ಥಿಗಳು) ಸಂವಹನ ನಡೆಸುವಾಗ, ಇತ್ತೀಚೆಗೆ ವೀಕ್ಷಿಸಲಾದ ಕೋರ್ಸ್ಗಳನ್ನು ಬಳಕೆದಾರ ಇಂಟರ್ಫೇಸ್ನಲ್ಲಿ ಪ್ರದರ್ಶಿಸಲಾಗಿದೆಯೆಂದು ನಾವು ಗಮನಿಸಿದ್ದೇವೆ. ಈ ಮಾಹಿತಿಯನ್ನು ಪ್ರತಿನಿಧಿಸಲು, ಒಂದೇ ಎಂಡ್ಪೋಯಿಂಟ್ಗೆ ನಾವು ಅನೇಕ API GET ವಿನಂತಿಗಳನ್ನು ಪತ್ತೆ ಮಾಡುತ್ತೇವೆ: /api/userPreferences.v1/ LeisureUSER_ID-lex.europa.eu~ LeisurePREFERENCE_TYPE}.
ಬೋಲಾ API ದುರ್ಬಲತೆಯನ್ನು ಪೀಡಿತ ಬಳಕೆದಾರರ ಆದ್ಯತೆಗಳು ಎಂದು ವಿವರಿಸಲಾಗಿದೆ. ದುರ್ಬಲತೆಯ ಲಾಭವನ್ನು ಪಡೆದುಕೊಂಡು, ಅನಾಮಧೇಯ ಬಳಕೆದಾರರು ಸಹ ಆದ್ಯತೆಗಳನ್ನು ಹಿಂಪಡೆಯಲು ಸಾಧ್ಯವಾಯಿತು, ಆದರೆ ಅವುಗಳನ್ನು ಬದಲಾಯಿಸಬಹುದು. ಇತ್ತೀಚೆಗೆ ವೀಕ್ಷಿಸಿದ ಕೋರ್ಸ್ಗಳು ಮತ್ತು ಪ್ರಮಾಣೀಕರಣಗಳಂತಹ ಕೆಲವು ಆದ್ಯತೆಗಳು ಕೆಲವು ಮೆಟಾಡೇಟಾವನ್ನು ಸಹ ಫಿಲ್ಟರ್ ಮಾಡುತ್ತವೆ. API ಗಳಲ್ಲಿನ BOLA ನ್ಯೂನತೆಗಳು ಅಂತಿಮ ಬಿಂದುಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಬಹುದು ಆಬ್ಜೆಕ್ಟ್ ಐಡೆಂಟಿಫೈಯರ್ಗಳನ್ನು ನಿರ್ವಹಿಸುತ್ತದೆ, ಅದು ವಿಶಾಲ ದಾಳಿಗೆ ಬಾಗಿಲು ತೆರೆಯುತ್ತದೆ.
"ಸಾಮಾನ್ಯ ಬಳಕೆದಾರರ ಕೋರ್ಸ್ ಪ್ರಾಶಸ್ತ್ಯಗಳನ್ನು ದೊಡ್ಡ ಪ್ರಮಾಣದಲ್ಲಿ ಅರ್ಥಮಾಡಿಕೊಳ್ಳಲು ಈ ದುರ್ಬಲತೆಯನ್ನು ದುರುಪಯೋಗಪಡಿಸಿಕೊಳ್ಳಬಹುದು, ಆದರೆ ಬಳಕೆದಾರರ ಆಯ್ಕೆಗಳನ್ನು ಕೆಲವು ರೀತಿಯಲ್ಲಿ ತಿರುಗಿಸಲು ಸಹ ಸಾಧ್ಯವಿದೆ, ಏಕೆಂದರೆ ಅವರ ಇತ್ತೀಚಿನ ಚಟುವಟಿಕೆಯ ಕುಶಲತೆಯು ಮುಖಪುಟ ಕೋರ್ಸೆರಾದಲ್ಲಿ ನಿರ್ದಿಷ್ಟಪಡಿಸಿದ ವಿಷಯದ ಮೇಲೆ ಪರಿಣಾಮ ಬೀರುತ್ತದೆ ಬಳಕೆದಾರ, ”ಸಂಶೋಧಕರು ವಿವರಿಸುತ್ತಾರೆ.
"ದುರದೃಷ್ಟವಶಾತ್, ಎಪಿಐಗಳೊಂದಿಗೆ ಅಧಿಕೃತತೆಯ ಸಮಸ್ಯೆಗಳು ಸಾಕಷ್ಟು ಸಾಮಾನ್ಯವಾಗಿದೆ" ಎಂದು ಸಂಶೋಧಕರು ಹೇಳುತ್ತಾರೆ. "ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಮೌಲ್ಯಮಾಪನಗಳನ್ನು ಒಂದೇ ಘಟಕದಲ್ಲಿ ಕೇಂದ್ರೀಕರಿಸುವುದು ಬಹಳ ಮುಖ್ಯ, ಉತ್ತಮವಾಗಿ ಪರೀಕ್ಷಿಸಲ್ಪಟ್ಟಿದೆ, ನಿರಂತರವಾಗಿ ಪರೀಕ್ಷಿಸಲ್ಪಟ್ಟಿದೆ ಮತ್ತು ಸಕ್ರಿಯವಾಗಿ ನಿರ್ವಹಿಸಲ್ಪಟ್ಟಿದೆ. ಹೊಸ API ಅಂತಿಮ ಬಿಂದುಗಳು ಅಥವಾ ಅಸ್ತಿತ್ವದಲ್ಲಿರುವ ಬದಲಾವಣೆಗಳನ್ನು ಅವುಗಳ ಸುರಕ್ಷತಾ ಅವಶ್ಯಕತೆಗಳಿಗೆ ವಿರುದ್ಧವಾಗಿ ಎಚ್ಚರಿಕೆಯಿಂದ ಪರಿಶೀಲಿಸಬೇಕು. "
ಎಪಿಐಗಳೊಂದಿಗೆ ಅಧಿಕೃತತೆಯ ಸಮಸ್ಯೆಗಳು ಸಾಕಷ್ಟು ಸಾಮಾನ್ಯವಾಗಿದೆ ಮತ್ತು ಪ್ರವೇಶ ನಿಯಂತ್ರಣ ಮೌಲ್ಯಮಾಪನಗಳನ್ನು ಕೇಂದ್ರೀಕರಿಸುವುದು ಮುಖ್ಯವಾಗಿದೆ ಎಂದು ಸಂಶೋಧಕರು ಗಮನಿಸಿದ್ದಾರೆ. ಹಾಗೆ ಮಾಡುವುದು ಒಂದೇ, ಉತ್ತಮವಾಗಿ ಪರೀಕ್ಷಿಸಲ್ಪಟ್ಟ ಮತ್ತು ನಡೆಯುತ್ತಿರುವ ನಿರ್ವಹಣಾ ಘಟಕದ ಮೂಲಕ ಮಾಡಬೇಕು.
ಪತ್ತೆಯಾದ ದೋಷಗಳನ್ನು ಅಕ್ಟೋಬರ್ 5 ರಂದು ಕೋರ್ಸೆರಾದ ಭದ್ರತಾ ತಂಡಕ್ಕೆ ಸಲ್ಲಿಸಲಾಯಿತು. ಕಂಪನಿಯು ವರದಿಯನ್ನು ಸ್ವೀಕರಿಸಿದೆ ಮತ್ತು ಅದರ ಮೇಲೆ ಕಾರ್ಯನಿರ್ವಹಿಸುತ್ತಿದೆ ಎಂಬ ದೃ October ೀಕರಣವು ಅಕ್ಟೋಬರ್ 26 ರಂದು ಬಂದಿತು, ಮತ್ತು ಕೋರ್ಸೆರಾ ತರುವಾಯ ಚೆರ್ಕ್ಮಾರ್ಕ್ಸ್ ಅನ್ನು ಬರೆದರು, ಅವರು ಡಿಸೆಂಬರ್ 18 ರಂದು ಜನವರಿ 2 ರವರೆಗೆ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಿದ್ದಾರೆ ಮತ್ತು ಕೋರ್ಸೇರಾ ನಂತರ ಹೊಸ ಪರೀಕ್ಷೆಯ ವರದಿಯನ್ನು ಹೊಸ ಸಮಸ್ಯೆಯೊಂದಿಗೆ ಕಳುಹಿಸಿದ್ದಾರೆ. ಅಂತಿಮವಾಗಿ, ಮೇ 24 ರಂದು, ಕೋರ್ಸೆರಾ ಎಲ್ಲಾ ಸಮಸ್ಯೆಗಳನ್ನು ಪರಿಹರಿಸಲಾಗಿದೆ ಎಂದು ದೃ confirmed ಪಡಿಸಿತು.
ಬಹಿರಂಗಪಡಿಸುವಿಕೆಯಿಂದ ತಿದ್ದುಪಡಿಯವರೆಗೆ ಸಾಕಷ್ಟು ಸಮಯದ ಹೊರತಾಗಿಯೂ, ಕೋರ್ಸೆರಾ ಭದ್ರತಾ ತಂಡವು ಕೆಲಸ ಮಾಡಲು ಸಂತೋಷವಾಗಿದೆ ಎಂದು ಸಂಶೋಧಕರು ಹೇಳಿದ್ದಾರೆ.
"ಅವರ ವೃತ್ತಿಪರತೆ ಮತ್ತು ಸಹಕಾರ, ಮತ್ತು ಸಾಫ್ಟ್ವೇರ್ ಕಂಪೆನಿಗಳೊಂದಿಗೆ ತೊಡಗಿಸಿಕೊಳ್ಳುವಾಗ ನಾವು ಎದುರು ನೋಡುತ್ತಿದ್ದೇವೆ" ಎಂದು ಅವರು ತೀರ್ಮಾನಿಸಿದರು.
ಮೂಲ: https://www.checkmarx.com