Несколько дней назад Обнаружена уязвимость в популярной платформе онлайн-курсов Coursera и проблема в том, что у него была проблема с API, поэтому Считается, что хакеры могли злоупотребить уязвимостью «BOLA». для понимания предпочтений пользователя в отношении курса, а также для искажения его параметров.
В дополнение к тому факту, что также считается, что недавно обнаруженные уязвимости могли раскрыть пользовательские данные до того, как будут устранены. Эти недостатки были обнаружены исследователями из компания по тестированию безопасности приложений галочка и опубликовано за последнюю неделю.
Уязвимости относятся к различным интерфейсам прикладного программирования Coursera и исследователи решили углубиться в безопасность Coursera из-за его растущей популярности благодаря переходу на работу и онлайн-обучение из-за пандемии COVID-19.
Тем, кто не знаком с Coursera, следует знать, что это компания, у которой 82 миллиона пользователей и которая работает с более чем 200 компаниями и университетами. Известные партнерские отношения включают Университет Иллинойса, Университет Дьюка, Google, Мичиганский университет, International Business Machines, Имперский колледж Лондона, Стэнфордский университет и Университет Пенсильвании.
Были обнаружены различные проблемы с API, включая перечисление пользователей / учетных записей с помощью функции сброса пароля, отсутствие ресурсов, ограничивающих как GraphQL API, так и REST, и некорректная конфигурация GraphQL. В частности, первое место в списке занимает проблема авторизации на уровне неработающего объекта.
При взаимодействии с веб-приложением Coursera в качестве обычных пользователей (студентов) мы заметили, что недавно просмотренные курсы отображались в пользовательском интерфейсе. Чтобы представить эту информацию, мы обнаруживаем несколько запросов API GET к одной и той же конечной точке: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Уязвимость BOLA API описывается как затронутые пользовательские настройки. Воспользовавшись уязвимостью, даже анонимные пользователи могли получать настройки, но также и изменять их. Некоторые настройки, например недавно просмотренные курсы и сертификаты, также отфильтровывают некоторые метаданные. Недостатки BOLA в API могут раскрыть конечные точки которые обрабатывают идентификаторы объектов, которые могут открыть дверь для более широких атак.
«Этой уязвимостью можно было злоупотребить, чтобы понять предпочтения курса обычных пользователей в широком масштабе, но также и для того, чтобы каким-то образом исказить выбор пользователей, поскольку манипулирование их недавними действиями повлияло на контент, представленный на домашней странице Coursera для определенного пользователь », - поясняют исследователи.
«К сожалению, проблемы с авторизацией довольно часто встречаются с API», - говорят исследователи. «Очень важно централизовать проверки контроля доступа в одном компоненте, который хорошо протестирован, постоянно тестируется и активно поддерживается. Новые конечные точки API или изменения существующих должны быть тщательно проверены на соответствие их требованиям безопасности.
Исследователи отметили, что проблемы с авторизацией довольно часто встречаются с API-интерфейсами, и поэтому важно централизовать проверки контроля доступа. Это должно осуществляться с помощью единственного, хорошо протестированного и постоянного компонента обслуживания.
Обнаруженные уязвимости были отправлены в службу безопасности Coursera 5 октября.. Подтверждение того, что компания получила отчет и работает над ним, пришло 26 октября, и впоследствии Coursera написала Cherkmarx, что они решили проблемы с 18 декабря по 2 января, а затем Coursera отправила отчет о новом тесте с новой проблемой. Ну наконец то, 24 мая Coursera подтвердила, что все проблемы устранены.
Несмотря на то, что от раскрытия информации до исправления прошло довольно много времени, исследователи сказали, что им было приятно работать с командой безопасности Coursera.
«Их профессионализм и сотрудничество, а также быстрое владение ими - вот что мы с нетерпением ждем при взаимодействии с компаниями-разработчиками программного обеспечения», - заключили они.
источник: https://www.checkmarx.com