Coursera APIдеги аялуу учур колдонуучунун дайындарынын сыртка чыгышына жол бериши мүмкүн

Бир нече күн мурун аялуу курсу популярдуу онлайн Coursera платформасында ачылган жана ал көйгөй APIде болгон, ошондуктан хакерлер "BOLA" аялуу жерин кыянаттык менен пайдаланган болушу мүмкүн деп болжолдонууда колдонуучулардын курсунун артыкчылыктарын түшүнүү, ошондой эле колдонуучунун курсунун варианттарын бурмалоо.

Мындан тышкары, жакында ачылган кемчиликтер оңдоодон мурун колдонуучунун маалыматтарын ачыкка чыгарышы мүмкүн деп эсептешет. Булар кемчиликтерин изилдөөчүлөр тарабынан табылган колдонмонун коопсуздугун текшерүүчү компания Checkmarx жана өткөн аптада жарыяланган.

Осал жерлер Coursera колдонмосунун программалоо интерфейстеринин ар кандай түрлөрүнө байланыштуу жана изилдөөчүлөр COVID-19 пандемиясынын кесепетинен жумушка жана онлайн режимине өтүү аркылуу популярдуулугу өсүп жаткандыктан, Coursera компаниясынын коопсуздугун тереңирээк изилдөөнү чечишти.

Coursera менен тааныш эмес адамдар үчүн, бул 82 миллион колдонуучусу бар жана 200дөн ашуун компаниялар жана университеттер менен иштешкен компания экендигин билишиңиз керек. Белгилүү өнөктөштүккө Иллинойс Университети, Дьюк Университети, Гугл, Мичиган Университети, Эл аралык Бизнес Машиналары, Лондон Империал Колледжи, Стэнфорд Университети жана Пенсильвания Университети кирет.

Ар кандай API маселелери табылды, анын ичинде паролду калыбына келтирүү функциясы аркылуу колдонуучуну / каттоо эсебин санап чыгуу, GraphQL API жана RESTти чектеген ресурстардын жетишсиздиги жана туура эмес GraphQL конфигурациясы. Тактап айтканда, бузулган объект деңгээлиндеги авторизация маселеси тизменин башында турат.

Coursera веб тиркемеси менен үзгүлтүксүз колдонуучулар (студенттер) катары өз ара аракеттешүүдө колдонуучу интерфейсинде жакында көрүлгөн курстар көрсөтүлүп жаткандыгын байкадык. Бул маалыматты чагылдыруу үчүн биз бир эле API GET суроо-талаптарын бир эле акыркы чекитте аныктайбыз: /api/userPreferences.v1/ [USER_ID-lex.europa.eu~(PREFERENCE_TYPE}.

BOLA API аялдамасы колдонуучунун каалоолору деп мүнөздөлөт. Ачуу абалды пайдаланып, белгисиз колдонуучулар дагы артыкчылыктарды кайтарып алышкан, бирок аларды өзгөртө алышкан. Жакында көрүлгөн курстар жана сертификаттар сыяктуу айрым артыкчылыктар айрым метадайындарды чыпкалайт. BOLA API'деги кемчиликтер акыркы чекиттерди ачыкка чыгара алат кеңири чабуулдарга эшик ачышы мүмкүн болгон объект идентификаторлорун иштетүүчү.

"Бул аялуу чөйрөнү жалпы колдонуучулардын курсунун артыкчылыктарын кеңири түшүнүү үчүн, ошондой эле колдонуучулардын тандоосун кандайдыр бир деңгээлде бурмалоо үчүн кыянаттык менен пайдаланса болмок, анткени алардын акыркы аракеттерин манипуляциялоо үй баракчасында көрсөтүлгөн мазмунга белгилүү бир таасирин тийгизди. колдонуучу ”деп түшүндүрүшөт изилдөөчүлөр.

"Тилекке каршы, уруксат берүү көйгөйлөрү API'лерде көп кездешет" дешет изилдөөчүлөр. “Жеткиликтүүлүктү контролдоонун валидацияларын бир компонентте борбордоштуруу абдан маанилүү, жакшы сыналган, үзгүлтүксүз текшерилген жана жигердүү жүргүзүлгөн. Жаңы API чекиттери же учурдагы өзгөрүүлөр коопсуздук талаптарына каршы кылдаттык менен каралышы керек. "

Изилдөөчүлөр авторизация көйгөйлөрү API'лерде көп кездешээрин белгилешти жана ушул себептен мүмкүндүк алууну текшерүүнү борборлоштуруу маанилүү экендигин белгилешти. Муну бирден, жакшы текшерилген жана туруктуу тейлөө компоненти аркылуу жасоо керек.

Табылган аялуу жерлер 5-октябрда Coursera компаниясынын коопсуздук тобуна тапшырылды. Компания отчетту алгандыгы жана анын үстүндө иштеп жаткандыгы тууралуу тастыктама 26-октябрда келип түшкөн, андан кийин Coursera Черкмаркска жазган, алар 18-декабрдан 2-январга чейин көйгөйлөрдү чечтик деп, андан кийин Coursera жаңы тест менен отчетун жаңы көйгөй менен жөнөттү. Акыры, 24-майда Coursera бардык маселелер чечилгенин ырастады.

Ачылгандан оңдоп-түзөөгө чейинки бир топ узак убакыттарга карабастан, изилдөөчүлөр Coursera коопсуздук тобу менен иштешүү жагымдуу болгонун айтышты.

"Алардын кесипкөйлүгү жана кызматташтыгы, ошондой эле тез ээлик кылуусу биз программалык камсыздоо компаниялары менен иштешүүдө чыдамсыздык менен күтүп жатабыз", - деп жыйынтыкташты алар.

булагы: https://www.checkmarx.com


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

Комментарий биринчи болуп

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.