Några dagar sen en sårbarhet avslöjades i den populära onlinekursplattformen Coursera och är att problemet han hade var i API, så Man tror att det är mycket möjligt att hackare kan ha missbrukat sårbarheten "BOLA" för att förstå användarnas kursinställningar, liksom för att skeva en användares kursalternativ.
Utöver det tror man också att de nyligen avslöjade sårbarheterna kunde ha exponerat användardata innan de reparerades. Dessa brister upptäcktes av forskare från applikationssäkerhetstestföretaget checkmarx och publicerades under den senaste veckan.
Sårbarheter relaterar till en mängd olika Coursera-programmeringsgränssnitt och forskarna bestämde sig för att gräva i säkerheten i Coursera på grund av dess ökande popularitet genom att byta till arbete och online-lärande på grund av COVID-19-pandemin.
För dem som inte känner till Coursera bör du veta att detta är ett företag som har 82 miljoner användare och arbetar med mer än 200 företag och universitet. Bland anmärkningsvärda partnerskap ingår University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University och University of Pennsylvania.
Olika API-problem upptäcktes inklusive uppräkning av användare / konto via funktionen för återställning av lösenord, brist på resurser som begränsar både GraphQL API och REST och felaktig GraphQL-konfiguration. I synnerhet är ett trasigt problem med behörighet på objektnivå högst upp i listan.
När vi interagerade med Coursera webbapplikation som vanliga användare (studenter) märkte vi att nyligen visade kurser visades i användargränssnittet. För att representera denna information upptäcker vi flera API-GET-förfrågningar till samma slutpunkt: /api/userPreferences.v1/ [USER_ID-lex.europa.eu ~ [FÖREDRAG_TYP}.
BOLA API-sårbarheten beskrivs som påverkade användarinställningar. Genom att utnyttja sårbarheten kunde även anonyma användare hämta inställningar, men också ändra dem. Några av inställningarna, som nyligen visade kurser och certifieringar, filtrerar också bort vissa metadata. BOLA-brister i API: er kan avslöja slutpunkter som hanterar objektidentifierare, vilket kan öppna dörren för bredare attacker.
«Denna sårbarhet kunde ha missbrukats för att förstå allmänna användares kurspreferenser i stor skala, men också för att skeva användarnas val på något sätt, eftersom manipuleringen av deras senaste aktivitet påverkade innehållet som presenterades på hemsidan Coursera för en specifik användare, förklarar forskarna.
"Tyvärr är auktoriseringsproblem ganska vanliga med API: er", säger forskarna. ”Det är mycket viktigt att centralisera åtkomstkontrollvalideringar i en enda komponent, väl testad, kontinuerligt testad och aktivt underhållen. Nya API-slutpunkter eller ändringar av befintliga bör granskas noggrant mot deras säkerhetskrav. "
Forskarna noterade att auktoriseringsproblem är ganska vanliga med API: er och att det som sådant är viktigt att centralisera åtkomstkontrollvalideringar. Att göra det måste ske genom en enda, väl testad och pågående underhållskomponent.
Upptäckta sårbarheter skickades in till Courseras säkerhetsteam den 5 oktober. Bekräftelse på att företaget tog emot rapporten och arbetade med den kom den 26 oktober, och Coursera skrev därefter Cherkmarx och sa att de hade löst problemen den 18 december till och med den 2 januari och Coursera skickade sedan en rapport om ett nytt test med ett nytt problem. Till sist, Den 24 maj bekräftade Coursera att alla problem fixades.
Trots den ganska långa tiden från avslöjande till korrigering sa forskarna att Coursera säkerhetsgrupp var ett nöje att arbeta med.
"Deras professionalism och samarbete, liksom det snabba ägandet de antog, är det vi ser fram emot när vi samarbetar med mjukvaruföretag", avslutade de.
Fuente: https://www.checkmarx.com