Kilka dni temu podatność została ujawniona w popularnej platformie kursów online Coursera i jest to, że problem miał w API, więc uważa się, że bardzo możliwe, że hakerzy mogli nadużyć podatności „BOLA” zrozumienie preferencji kursowych użytkowników, a także wypaczenie opcji kursu użytkownika.
Ponadto uważa się, że niedawno ujawnione luki w zabezpieczeniach mogły ujawnić dane użytkownika przed ich naprawą. Te wady odkryli badacze z researchers firma testująca bezpieczeństwo aplikacji Sprawdźmarks i opublikowane w ciągu ostatniego tygodnia.
Luki w zabezpieczeniach odnoszą się do różnych interfejsów programowania aplikacji Coursera a badacze postanowili zagłębić się w bezpieczeństwo Coursera ze względu na jej rosnącą popularność poprzez przejście do pracy i naukę online w związku z pandemią COVID-19.
Ci, którzy nie są zaznajomieni z Coursera, powinni wiedzieć, że jest to firma, która ma 82 miliony użytkowników i współpracuje z ponad 200 firmami i uczelniami. Godne uwagi partnerstwa obejmują University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University i University of Pennsylvania.
Wykryto różne problemy z interfejsem API, w tym wyliczanie użytkowników / kont za pomocą funkcji resetowania hasła, brak zasobów ograniczających zarówno GraphQL API jak i REST oraz nieprawidłowa konfiguracja GraphQL. W szczególności na szczycie listy znajduje się błąd autoryzacji na poziomie obiektu.
Podczas interakcji z aplikacją internetową Coursera jako zwykli użytkownicy (studenci), zauważyliśmy, że ostatnio przeglądane kursy były wyświetlane w interfejsie użytkownika. Aby przedstawić te informacje, wykrywamy wiele żądań API GET do tego samego punktu końcowego: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Luka BOLA API jest opisana jako dotknięte preferencje użytkownika. Wykorzystując tę lukę, nawet anonimowi użytkownicy mogli pobrać preferencje, ale także je zmienić. Niektóre preferencje, takie jak ostatnio przeglądane kursy i certyfikaty, również odfiltrowują niektóre metadane. Błędy BOLA w API mogą ujawnić punkty końcowe które obsługują identyfikatory obiektów, co może otworzyć drzwi do szerszych ataków.
„Ta luka mogła zostać wykorzystana do zrozumienia preferencji kursów ogólnych użytkowników na dużą skalę, ale także do wypaczenia wyborów użytkowników w pewien sposób, ponieważ manipulacja ich niedawną aktywnością wpłynęła na treści prezentowane na stronie głównej Coursera dla konkretnego użytkownik ”- wyjaśniają naukowcy.
„Niestety problemy z autoryzacją są dość powszechne w przypadku interfejsów API” – mówią naukowcy. „Bardzo ważne jest scentralizowanie walidacji kontroli dostępu w jednym komponencie, dobrze przetestowanym, stale testowanym i aktywnie utrzymywanym. Nowe punkty końcowe interfejsu API lub zmiany w istniejących powinny być dokładnie sprawdzane pod kątem ich wymagań bezpieczeństwa.”
Naukowcy zauważyli, że problemy z autoryzacją są dość powszechne w przypadku interfejsów API i dlatego ważne jest scentralizowanie walidacji kontroli dostępu. Należy to zrobić za pomocą jednego, dobrze przetestowanego i ciągłego komponentu konserwacji.
Wykryte luki zostały przesłane do zespołu ds. bezpieczeństwa Coursera 5 października October. Potwierdzenie, że firma otrzymała raport i pracuje nad nim, nadeszło 26 października, a Coursera napisała następnie do Cherkmarx, że rozwiązała problemy od 18 grudnia do 2 stycznia, a następnie Coursera wysłała raport o nowym teście z nowym problemem. Wreszcie, 24 maja Coursera potwierdziła, że wszystkie problemy zostały naprawione.
Pomimo dość długiego czasu od ujawnienia do korekty, naukowcy stwierdzili, że praca z zespołem ds. bezpieczeństwa Coursera była przyjemnością.
„Ich profesjonalizm i współpraca, a także szybka własność, którą przejęli, są tym, na co czekamy, gdy współpracujemy z firmami programistycznymi” – podsumowali.
źródło: https://www.checkmarx.com