Pred pár dňami zraniteľnosť bola odhalená v populárnej online kurzovej platforme Coursera a je to, že problém, ktorý mal, bol v API, takže Existuje domnienka, že je veľmi možné, že hackeri mohli zneužiť zraniteľnosť „BOLA“ porozumieť preferenciám kurzov používateľov a skresliť možnosti kurzov používateľa.
Okrem toho sa tiež verí, že nedávno odhalené chyby zabezpečenia mohli vystaviť údaje používateľa pred opravou. Títo nedostatky objavili vedci z spoločnosť na testovanie bezpečnosti aplikácií checkmark a zverejnené počas minulého týždňa.
Zraniteľnosti sa týkajú rôznych rozhraní aplikačného programovania Coursera a vedci sa rozhodli ponoriť do bezpečnosti Coursery kvôli jej rastúcej popularite prechodom na prácu a online učenie sa kvôli pandémii COVID-19.
Pre tých, ktorí Courseru nepoznajú, mali by ste vedieť, že ide o spoločnosť, ktorá má 82 miliónov používateľov a spolupracuje s viac ako 200 spoločnosťami a univerzitami. Medzi významné partnerstvá patria University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University a University of Pennsylvania.
Boli objavené rôzne problémy s API vrátane výčtu používateľov / účtov pomocou funkcie obnovenia hesla, nedostatok zdrojov obmedzujúcich GraphQL API aj REST a nesprávna konfigurácia GraphQL. Zoznamu vedie predovšetkým problém s autorizáciou na rozbitom objekte.
Pri interakcii s webovou aplikáciou Coursera ako bežní používatelia (študenti) sme si všimli, že nedávno zobrazené kurzy sa zobrazovali v používateľskom rozhraní. Aby sme reprezentovali tieto informácie, zisťujeme viac požiadaviek API GET na rovnaký koncový bod: /api/userPreferences.v1/[USER_ID-lex.europa.eu~~PREFERENCE_TYPE}.
Zraniteľnosť API BOLA je opísaná ako ovplyvnená preferenciami používateľov. Využili túto chybu zabezpečenia a dokonca aj anonymní používatelia boli schopní načítať predvoľby, ale ich aj meniť. Niektoré predvoľby, ako napríklad naposledy zobrazené kurzy a certifikácie, filtrujú aj niektoré metadáta. Chyby BOLA v API môžu odhaliť koncové body ktoré spracúvajú identifikátory objektov, čo by im mohlo otvoriť dvere k širším útokom.
«Túto chybu zabezpečenia bolo možné zneužiť na to, aby ste pochopili preferencie kurzov bežných používateľov vo veľkom meradle, ale tiež aby nejakým spôsobom skreslili možnosti používateľov, pretože manipulácia s ich nedávnou aktivitou ovplyvnila obsah uvedený na domovskej stránke Coursera pre konkrétny užívateľ, “vysvetľujú vedci.
„Bohužiaľ, problémy s autorizáciou sú u API celkom bežné,“ tvrdia vedci. „Je veľmi dôležité centralizovať validácie riadenia prístupu do jedného komponentu, ktorý je dobre testovaný, priebežne testovaný a aktívne udržiavaný. Nové koncové body API alebo zmeny existujúcich, by mali byť starostlivo skontrolované z hľadiska ich bezpečnostných požiadaviek. “
Vedci poznamenali, že problémy s autorizáciou sú s API pomerne bežné, a preto je dôležité centralizovať validácie riadenia prístupu. Musí to byť prostredníctvom jediného, dobre otestovaného a neustále prebiehajúceho komponentu údržby.
Zistené chyby boli predložené bezpečnostnému tímu spoločnosti Coursera 5. októbra. Potvrdenie, že spoločnosť správu dostala a na ktorej pracuje, prišlo 26. októbra a Coursera následne napísala Cherkmarxovi s tým, že problémy vyriešili 18. decembra až 2. januára a Coursera potom zaslala správu o novom teste s novým problémom. Nakoniec 24. mája Coursera potvrdila, že všetky problémy boli opravené.
Napriek pomerne dlhej dobe od zverejnenia do opravy vedci uviedli, že s bezpečnostným tímom Coursera bolo potešením pracovať.
„Ich profesionalita a spolupráca, ako aj rýchle vlastníctvo, ktoré prevzali, sa tešíme pri spolupráci so softvérovými spoločnosťami,“ uzavreli.
Fuente: https://www.checkmarx.com