Beberapa hari yang lalu kerentanan dinyatakan dalam platform kursus dalam talian yang popular Coursera dan bahawa masalah yang dia ada adalah di API, begitu dipercayai bahawa penggodam mungkin telah menyalahgunakan kerentanan "BOLA" untuk memahami pilihan kursus pengguna, dan juga untuk memilih pilihan kursus pengguna.
Di samping itu, juga dipercayai bahawa kerentanan yang baru-baru ini dapat menunjukkan data pengguna sebelum diperbaiki. Ini kelemahan ditemui oleh penyelidik dari syarikat ujian keselamatan aplikasi checkmarx dan diterbitkan selama seminggu yang lalu.
Kerentanan berkaitan dengan pelbagai antara muka pengaturcaraan aplikasi Coursera dan para penyelidik memutuskan untuk menyelidiki keamanan Coursera kerana popularitinya yang semakin meningkat dengan beralih ke kerja dan pembelajaran dalam talian kerana wabak COVID-19.
Bagi mereka yang tidak biasa dengan Coursera, anda harus tahu bahawa ini adalah syarikat yang mempunyai 82 juta pengguna dan bekerja dengan lebih daripada 200 syarikat dan universiti. Perkongsian terkenal termasuk Universiti Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University, dan University of Pennsylvania.
Pelbagai masalah API ditemui termasuk penghitungan pengguna / akaun melalui ciri tetapan semula kata laluan, kekurangan sumber yang membatasi API GraphQL dan REST, dan konfigurasi GraphQL yang salah. Khususnya, isu kebenaran tahap objek yang rosak berada di atas senarai.
Semasa berinteraksi dengan aplikasi web Coursera sebagai pengguna biasa (pelajar), kami melihat bahawa kursus yang dilihat baru-baru ini dipaparkan di antara muka pengguna. Untuk mewakili maklumat ini, kami mengesan beberapa permintaan API GET ke titik akhir yang sama: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Kerentanan API BOLA digambarkan sebagai pilihan pengguna yang terjejas. Dengan memanfaatkan kerentanan tersebut, bahkan pengguna tanpa nama dapat mengambil pilihan, tetapi juga mengubahnya. Sebilangan pilihan, seperti kursus dan pensijilan yang dilihat baru-baru ini, juga menyaring beberapa metadata. Kekurangan BOLA dalam API dapat mendedahkan titik akhir yang menangani pengecam objek, yang dapat membuka pintu untuk serangan yang lebih luas.
«Kerentanan ini dapat disalahgunakan untuk memahami pilihan kursus pengguna umum dalam skala besar, tetapi juga untuk menolak pilihan pengguna dalam beberapa cara, kerana manipulasi aktiviti baru-baru ini mempengaruhi kandungan yang disajikan di halaman utama Coursera untuk sesuatu yang spesifik pengguna, ”jelas penyelidik.
"Malangnya, masalah pengesahan agak biasa dengan API," kata para penyelidik. "Sangat penting untuk memusatkan pengesahan kawalan akses dalam satu komponen, diuji dengan baik, diuji secara berterusan dan dikendalikan secara aktif. Titik akhir API baru, atau perubahan pada yang ada, harus dikaji dengan teliti terhadap syarat keselamatannya. "
Para penyelidik menyatakan bahawa masalah pengesahan cukup umum dengan API dan oleh itu penting untuk memusatkan pengesahan kawalan akses. Melakukannya mesti melalui satu komponen penyelenggaraan yang teruji, dan berterusan.
Kerentanan yang dijumpai diserahkan kepada pasukan keselamatan Coursera pada 5 Oktober. Pengesahan bahawa syarikat itu menerima laporan tersebut dan sedang mengusahakannya pada 26 Oktober, dan Coursera kemudiannya menulis Cherkmarx dengan mengatakan bahawa mereka telah menyelesaikan masalah tersebut pada 18 Disember hingga 2 Januari dan Coursera kemudian mengirimkan laporan ujian baru dengan masalah baru. Akhirnya, Pada 24 Mei, Coursera mengesahkan bahawa semua masalah telah diperbaiki.
Walaupun masa yang agak lama dari pendedahan hingga pembetulan, para penyelidik mengatakan pasukan keselamatan Coursera senang bekerja sama.
"Profesionalisme dan kerjasama mereka, serta kepemilikan cepat yang mereka anggap, adalah apa yang kami nantikan ketika terlibat dengan perusahaan perisian," mereka menyimpulkan.
Fuente: https://www.checkmarx.com