Pak ditë më parë një dobësi u zbulua në platformën e njohur të kurseve në internet Coursera dhe është se problemi që ai kishte ishte në API, kështu Besohet se është shumë e mundur që hakerat të kenë abuzuar me cenueshmërinë "BOLA" të kuptojë preferencat e kursit të përdoruesve, si dhe të anojë opsionet e kursit të një përdoruesi.
Përveç kësaj besohet gjithashtu që dobësitë e zbuluara së fundmi mund të kenë ekspozuar të dhënat e përdoruesit përpara se të riparohen. Këto difektet u zbuluan nga studiuesit nga kompania e testimit të sigurisë së aplikacionit checkmarks dhe botuar gjatë javës së kaluar.
Vulnerabilitetet kanë të bëjnë me një larmi ndërfaqesh programimi të aplikacionit Coursera dhe studiuesit vendosën të thellohen në sigurinë e Coursera për shkak të popullaritetit të saj në rritje përmes kalimit në punë dhe mësimit në internet për shkak të pandemisë COVID-19.
Për ata që nuk janë të njohur me Coursera, duhet të dini se kjo është një kompani që ka 82 milion përdorues dhe punon me më shumë se 200 kompani dhe universitete. Partneritetet e dukshme përfshijnë Universitetin e Illinois, Universitetin Duke, Google, Universitetin e Miçiganit, Makineritë Ndërkombëtare të Biznesit, Kolegjin Imperial të Londrës, Universitetin Stanford dhe Universitetin e Pensilvanisë.
Çështje të ndryshme të API u zbuluan duke përfshirë regjistrimin e përdoruesit / llogarisë përmes funksionit të rivendosjes së fjalëkalimit, mungesa e burimeve që kufizojnë si GraphQL API dhe REST, ashtu edhe konfigurimi i pasaktë i GraphQL. Në veçanti, një çështje e prishur e nivelit të objektit kryeson listën.
Kur ndërvepronim me aplikacionin në internet Coursera si përdorues të rregullt (studentë), vumë re që kurset e shikuara së fundmi shfaqeshin në ndërfaqen e përdoruesit. Për të përfaqësuar këtë informacion, ne zbulojmë kërkesa të shumta API GET në të njëjtën pikë përfundimtare: /api/userPreferences.v1/ceptsUSER_ID-lex.europa.eu~ceptsPREFERENCE_TYPE}.
Dobësia e BOLA API përshkruhet si preferencat e përdoruesve të prekur. Duke përfituar nga dobësia, edhe përdoruesit anonimë ishin në gjendje të rimarrin preferencat, por edhe t'i ndryshojnë ato. Disa nga preferencat, të tilla si kurset dhe çertifikatat e shikuara së fundmi, filtrojnë gjithashtu disa meta të dhëna. Të metat e BOLA në API mund të ekspozojnë pikat përfundimtare që trajtojnë identifikuesit e objekteve, të cilat mund të hapin derën për sulme më të gjera.
«Kjo dobësi mund të ishte abuzuar për të kuptuar preferencat e kursit të përdoruesve të përgjithshëm në një shkallë të gjerë, por edhe për të anuar zgjedhjet e përdoruesve në një farë mënyre, pasi manipulimi i aktivitetit të tyre të fundit ndikoi në përmbajtjen e paraqitur në faqen kryesore Coursera për një specifik përdorues ”, shpjegojnë studiuesit.
"Për fat të keq, problemet e autorizimit janë mjaft të zakonshme me API-të", thonë studiuesit. “Veryshtë shumë e rëndësishme që të centralizohen vlerësimet e kontrollit të hyrjes në një komponent të vetëm, të testuar mirë, të testuar vazhdimisht dhe të mirëmbajtur në mënyrë aktive. Pikat e reja të fundit të API-së, ose ndryshimet në ato ekzistuese, duhet të rishikohen me kujdes përkundrejt kërkesave të tyre të sigurisë. "
Studiuesit vunë në dukje se problemet e autorizimit janë mjaft të zakonshme me API-të dhe se si të tilla është e rëndësishme të centralizohen vlerësimet e kontrollit të hyrjes. Bërja e kësaj duhet të bëhet përmes një komponenti të vetëm, të testuar mirë dhe të vazhdueshëm të mirëmbajtjes.
Dobësitë e zbuluara iu paraqitën ekipit të sigurisë së Coursera më 5 tetor. Konfirmimi që kompania mori raportin dhe po punonte për të erdhi në 26 Tetor, dhe Coursera më pas shkroi Cherkmarx duke thënë se ata kishin zgjidhur çështjet në 18 Dhjetor deri në 2 Janar dhe Coursera më pas dërgoi një raport të testit të ri me një problem të ri. Më në fund, Më 24 maj, Coursera konfirmoi se të gjitha çështjet ishin rregulluar.
Pavarësisht nga koha mjaft e gjatë nga zbulimi në korrigjim, studiuesit thanë se ekipi i sigurisë Coursera ishte një kënaqësi për të punuar me të.
"Profesionalizmi dhe bashkëpunimi i tyre, si dhe pronësia e shpejtë që ata morën, është ajo që ne presim me padurim kur të angazhohemi me kompani softuerësh," përfunduan ata.
Fuente: https://www.checkmarx.com