काही दिवसांपूर्वी लोकप्रिय ऑनलाइन कोर्स प्लॅटफॉर्म Coursera मध्ये एक असुरक्षितता उघडकीस आली आणि हीच समस्या म्हणजे ती एपीआयमध्ये होती असा विश्वास आहे की हॅकर्सने "बोला" या असुरक्षाचा गैरवापर केला असता हे शक्य आहे वापरकर्त्यांची कोर्स प्राधान्ये समजून घेण्यासाठी तसेच वापरकर्त्याचे कोर्स पर्याय स्क्यू करण्यासाठी.
याव्यतिरिक्त, असेही मानले जाते की अलीकडे प्रकट झालेल्या असुरक्षाांमुळे दुरुस्ती होण्यापूर्वी वापरकर्ता डेटा उघडकीस आला असता. या च्या संशोधकांकडून दोष शोधले गेले अनुप्रयोग सुरक्षा चाचणी कंपनी चेकमार्क्स आणि गेल्या आठवड्यात प्रकाशित.
असुरक्षा Coursera applicationप्लिकेशन प्रोग्रामिंग इंटरफेसच्या विविधतेशी संबंधित आणि कोविड -१ p (साथीचा रोग) सर्व देशभर (किंवा (साथीचा रोग)) साथीच्या आजारामुळे कामावर स्विच आणि ऑनलाइन शिक्षणाद्वारे वाढणार्या लोकप्रियतेमुळे संशोधकांनी कोरेसेराच्या सुरक्षिततेचा विचार करण्याचे ठरविले.
ज्यांना कोर्सेरा अपरिचित आहे त्यांच्यासाठी आपल्याला हे माहित असले पाहिजे की ही कंपनी आहे ज्याचे 82 दशलक्ष वापरकर्ते आहेत आणि 200 हून अधिक कंपन्या आणि विद्यापीठांमध्ये कार्यरत आहेत. उल्लेखनीय भागीदारीमध्ये युनिव्हर्सिटी ऑफ इलिनॉय, ड्यूक युनिव्हर्सिटी, गूगल, युनिव्हर्सिटी ऑफ मिशिगन, इंटरनेशनल बिझिनेस मशिन्स, इम्पीरियल कॉलेज लंडन, स्टॅनफोर्ड युनिव्हर्सिटी आणि पेनसिल्वेनिया विद्यापीठ यांचा समावेश आहे.
संकेतशब्द रीसेट वैशिष्ट्याद्वारे वापरकर्ता / खाते गणनासह विविध एपीआय समस्या आढळल्या, ग्राफिक एपीआय आणि आरईएसटी आणि चुकीची ग्राफिक कॉन्फिगरेशन दोन्ही मर्यादित स्त्रोतांचा अभाव. विशेषतः, तुटलेली ऑब्जेक्ट पातळी प्रमाणीकरण समस्या सूचीमध्ये प्रथम आहे.
नियमित वापरकर्ते (विद्यार्थी) म्हणून कोर्सरा वेब withप्लिकेशनशी संवाद साधताना आमच्या लक्षात आले की यूजर इंटरफेसमध्ये अलीकडे पाहिलेले कोर्स प्रदर्शित झाले आहेत. या माहितीचे प्रतिनिधित्व करण्यासाठी, आम्हाला समान अंतिम बिंदूवर एकाधिक API GET विनंत्या आढळतात: /api/userPreferences.v1/ পরিবারUSER_ID-lex.europa.eu~ePREFERENCE_TYPE}.
बोला एपीआय असुरक्षाचे प्रभावित वापरकर्त्याच्या पसंतीनुसार वर्णन केले आहे. असुरक्षिततेचा फायदा घेत, अज्ञात वापरकर्ते देखील प्राधान्ये पुनर्प्राप्त करण्यात सक्षम झाले, परंतु त्यांना बदलले. अलीकडे पाहिलेले अभ्यासक्रम आणि प्रमाणपत्रे यासारखी काही प्राधान्ये काही मेटाडेटा देखील फिल्टर करतात. एपीआय मधील बोला त्रुटी अंत बिंदू उघडकीस आणू शकतात जे ऑब्जेक्ट आयडेंटिफायर्स हँडल करतात जे व्यापक हल्ल्यांचे दार उघडू शकतील.
“या असुरक्षाचा वापर सर्वसाधारण वापरकर्त्यांची प्राधान्यक्रम मोठ्या प्रमाणात समजून घेण्यासाठी, परंतु वापरकर्त्यांच्या निवडींवर काही प्रमाणात पडदा टाकण्यासाठी देखील केला जाऊ शकतो, कारण त्यांच्या अलीकडील क्रियेमुळे केलेल्या हेरफेरमुळे मुख्यपृष्ठावर सादर केलेल्या सामग्रीवर परिणाम झाला. वापरकर्ता, ”संशोधक स्पष्ट करतात.
"दुर्दैवाने, एपीआयमध्ये अधिकृतता समस्या अगदी सामान्य आहेत," संशोधकांचे म्हणणे आहे. “एकाच घटकामध्ये प्रवेश नियंत्रण वैधतेचे केंद्रीकरण करणे, उत्तम प्रकारे चाचणी करणे, सतत चाचणी करणे आणि सक्रियपणे देखभाल करणे फार महत्वाचे आहे. नवीन एपीआय एंडपॉइंट्स किंवा विद्यमान असलेल्या बदलांचे त्यांच्या सुरक्षा आवश्यकतांच्या विरूद्ध काळजीपूर्वक पुनरावलोकन केले पाहिजे. "
संशोधकांनी नमूद केले की अधिकृतता समस्या एपीआय सह सामान्य आहेत आणि अशा प्रकारे प्रवेश नियंत्रण वैधता केंद्रीकृत करणे महत्वाचे आहे. असे करणे एका एकाच, चांगल्या चाचणी केलेल्या आणि चालू देखभाल घटकाद्वारे केले जाणे आवश्यक आहे.
5 ऑक्टोबर रोजी शोधलेल्या असुरक्षा कोर्सेराच्या सुरक्षा टीमला सादर केल्या. कंपनीला अहवाल मिळाला होता व त्यावर काम करत असल्याची पुष्टी 26 ऑक्टोबरला झाली आणि त्यानंतर चौरसम्रा यांनी असे लिहिले की त्यांनी 18 डिसेंबर रोजी 2 जानेवारीपर्यंत प्रश्न सोडविला आहे आणि त्यानंतर कोरेसेराने नवीन समस्येसह नवीन चाचणीचा अहवाल पाठविला आहे. शेवटी, 24 मे रोजी कोरेसेराने पुष्टी केली की सर्व प्रकरणे निश्चित झाली आहेत.
प्रकटीकरण ते दुरुस्त होण्यास बराच काळ लोटला असूनही, संशोधकांनी सांगितले की, कोर्सेरा सुरक्षा टीम काम करण्यास आनंद वाटली.
“त्यांची व्यावसायिकता आणि सहकार्य तसेच त्यांनी घेतलेली वेगवान मालकी हीच सॉफ्टवेअर कंपन्यांशी काम करताना आपण ज्याची अपेक्षा करतो, ते आहे.”
स्त्रोत: https://www.checkmarx.com