Ilang araw na ang nakakalipas ang isang kahinaan ay isiniwalat sa tanyag na platform ng kurso sa online na Coursera at iyon ba ang problemang mayroon siya ay sa API, kaya ito ay pinaniniwalaan na napaka-posible na ang mga hacker ay maaaring inabuso ang kahinaan na "BOLA" upang maunawaan ang mga kagustuhan sa kurso ng mga gumagamit, pati na rin ang pagdidilig sa mga pagpipilian sa kurso ng isang gumagamit.
Bilang karagdagan sa katotohanan na pinaniniwalaan din na ang mga kamakailang nahayag na kahinaan ay maaaring mailantad ang data ng gumagamit bago ayusin. Ang mga ito ang mga bahid ay natuklasan ng mga mananaliksik mula sa ang kumpanya ng pagsubok sa seguridad ng aplikasyon checkmarx at inilathala noong nakaraang linggo.
Mga Kakulangan nauugnay sa iba't ibang mga interface ng programa ng Coursera application at nagpasya ang mga mananaliksik na tuklasin ang seguridad ng Coursera dahil sa pagtaas ng kasikatan nito sa pamamagitan ng paglipat sa trabaho at pag-aaral sa online dahil sa COVID-19 pandemya.
Para sa mga hindi pamilyar sa Coursera, dapat mong malaman na ito ay isang kumpanya na mayroong 82 milyong mga gumagamit at nagtatrabaho sa higit sa 200 mga kumpanya at unibersidad. Kapansin-pansin na pakikipagsosyo ay ang University of Illinois, Duke University, Google, University of Michigan, International Business Machines, Imperial College London, Stanford University, at University of Pennsylvania.
Ang iba't ibang mga isyu sa API ay natuklasan kasama ang pag-enumerate ng gumagamit / account sa pamamagitan ng tampok na pag-reset ng password, kakulangan ng mga mapagkukunan na naglilimita sa parehong GraphQL API at REST, at maling pagsasaayos ng GraphQL. Sa partikular, ang isang sirang isyu ng pahintulot sa antas ng object ang nangunguna sa listahan.
Kapag nakikipag-ugnay sa Coursera web application bilang regular na mga gumagamit (mag-aaral), napansin namin na ang mga kamakailang tiningnan na mga kurso ay ipinakita sa interface ng gumagamit. Upang kumatawan sa impormasyong ito, nakakakita kami ng maraming mga kahilingan sa API GET sa parehong endpoint: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Inilarawan ang kahinaan ng BOLA API bilang apektadong mga kagustuhan ng gumagamit. Sinasamantala ang kahinaan, kahit na ang mga hindi nagpapakilalang gumagamit ay nakakuha ng mga kagustuhan, ngunit binago din ang mga ito. Ang ilan sa mga kagustuhan, tulad ng kamakailang tiningnan na mga kurso at sertipikasyon, ay nag-filter din ng ilang metadata. Ang mga bahid ng BOLA sa mga API ay maaaring mailantad ang mga endpoint na humahawak sa mga tagakilala ng bagay, na maaaring magbukas ng pinto sa mas malawak na pag-atake.
«Ang kahinaan na ito ay maaaring abusuhin upang maunawaan ang mga kagustuhan ng kurso ng mga pangkalahatang gumagamit sa isang malaking sukat, ngunit din sa pagdidilig sa mga pagpipilian ng mga gumagamit sa ilang paraan, dahil ang pagmamanipula ng kanilang kamakailang aktibidad ay nakaapekto sa nilalamang ipinakita sa home page Coursera para sa isang tukoy gumagamit, "paliwanag ng mga mananaliksik.
"Sa kasamaang palad, ang mga problema sa pahintulot ay karaniwan sa mga API," sabi ng mga mananaliksik. "Napakahalaga na sentralisahin ang mga pagpapatunay sa pag-access sa pag-access sa isang solong bahagi, mahusay na nasubukan, patuloy na nasubukan at aktibong pinapanatili. Ang mga bagong endpoint ng API, o pagbabago sa mga mayroon nang, ay dapat na maingat na suriin laban sa kanilang mga kinakailangan sa seguridad. "
Sinabi ng mga mananaliksik na ang mga problema sa pagpapahintulot ay pangkaraniwan sa mga API at dahil tulad nito mahalaga na sentralisahin ang mga pagpapatunay ng kontrol sa pag-access. Ang paggawa nito ay dapat na sa pamamagitan ng isang solong, mahusay na nasubukan, at patuloy na sangkap ng pagpapanatili.
Ang mga natuklasang kahinaan ay isinumite sa koponan ng seguridad ni Coursera noong Oktubre 5. Ang kumpirmasyon na natanggap ng kumpanya ang ulat at ginagawa ito ay dumating noong Oktubre 26, at sumunod na sinulat ni Coursera si Cherkmarx na nagsabing nalutas nila ang mga isyu noong Disyembre 18 hanggang Enero 2 at pagkatapos ay nagpadala si Coursera ng isang ulat ng bagong pagsubok na may bagong problema. Sa wakas, Noong Mayo 24, kinumpirma ni Coursera na ang lahat ng mga isyu ay naayos na.
Sa kabila ng medyo mahabang panahon mula sa pagsisiwalat hanggang sa pagwawasto, sinabi ng mga mananaliksik na ang pangkat ng seguridad ng Coursera ay isang kasiyahan na makipagtulungan.
"Ang kanilang propesyunalismo at kooperasyon, pati na rin ang mabilis na pagmamay-ari na ipinalagay nila, ang inaasahan namin kapag nakikipag-ugnayan sa mga kumpanya ng software," pagtapos nila.
Fuente: https://www.checkmarx.com