Birkaç gün önce popüler çevrimiçi kurs platformu Coursera'da bir güvenlik açığı açıklandı ve sahip olduğu sorun API'deydi, yani bilgisayar korsanlarının "BOLA" güvenlik açığını kötüye kullanmış olabileceğinin çok muhtemel olduğuna inanılıyor. kullanıcıların kurs tercihlerini anlamak ve bir kullanıcının kurs seçeneklerini çarpıtmak için.
Ek olarak, yakın zamanda ortaya çıkan güvenlik açıklarının, onarılmadan önce kullanıcı verilerini açığa çıkarabileceğine de inanılıyor. Bunlar kusurlar araştırmacılar tarafından keşfedildi uygulama güvenliği test şirketi kontrol işareti ve geçen hafta yayınlandı.
Güvenlik açıkları çeşitli Coursera uygulama programlama arayüzleriyle ilgilidir ve araştırmacılar, COVID-19 salgını nedeniyle işe ve çevrimiçi öğrenmeye geçerek artan popülaritesi nedeniyle Coursera'nın güvenliğini araştırmaya karar verdi.
Coursera'ya aşina olmayanlar için, 82 milyon kullanıcısı olan ve 200'den fazla şirket ve üniversite ile çalışan bir şirket olduğunu bilmelisiniz. Önemli ortaklıklar arasında Illinois Üniversitesi, Duke Üniversitesi, Google, Michigan Üniversitesi, International Business Machines, Imperial College London, Stanford Üniversitesi ve Pennsylvania Üniversitesi bulunmaktadır.
Parola sıfırlama özelliği ile kullanıcı/hesap numaralandırma dahil çeşitli API sorunları keşfedildi, hem GraphQL API'sini hem de REST'i sınırlayan kaynakların eksikliği ve yanlış GraphQL yapılandırması. Özellikle, bozuk bir nesne düzeyinde yetkilendirme sorunu listenin başında gelir.
Normal kullanıcılar (öğrenciler) olarak Coursera web uygulamasıyla etkileşim kurarken, son görüntülenen kursların kullanıcı arayüzünde görüntülendiğini fark ettik. Bu bilgiyi temsil etmek için, aynı uç noktaya yönelik birden çok API GET isteği saptadık: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
BOLA API güvenlik açığı, etkilenen kullanıcı tercihleri olarak tanımlanır. Güvenlik açığından yararlanan anonim kullanıcılar bile tercihleri alabildi, ancak bunları değiştirebildi. Yakın zamanda görüntülenen kurslar ve sertifikalar gibi bazı tercihler de bazı meta verileri filtreler. API'lerdeki BOLA kusurları uç noktaları ortaya çıkarabilir daha geniş saldırılara kapı açabilecek nesne tanımlayıcıları işleyenler.
«Bu güvenlik açığı, genel kullanıcıların kurs tercihlerini büyük ölçüde anlamak için kötüye kullanılabilirdi, ancak aynı zamanda, son etkinliklerinin manipülasyonu belirli bir süre için Coursera ana sayfasında sunulan içeriği etkilediğinden, kullanıcıların seçimlerini bir şekilde çarpıtmak için de kullanılabilirdi. kullanıcı, ”diye açıklıyor araştırmacılar.
Araştırmacılar, "Maalesef, yetkilendirme sorunları API'lerde oldukça yaygın" diyor. “Erişim kontrolü doğrulamalarını, iyi test edilmiş, sürekli test edilmiş ve aktif olarak sürdürülen tek bir bileşende merkezileştirmek çok önemli. Yeni API uç noktaları veya mevcut olanlarda yapılan değişiklikler, güvenlik gereksinimlerine göre dikkatlice gözden geçirilmelidir."
Araştırmacılar, API'lerde yetkilendirme sorunlarının oldukça yaygın olduğunu ve bu nedenle erişim kontrolü doğrulamalarını merkezileştirmenin önemli olduğunu belirtti. Bunu yapmak, tek, iyi test edilmiş ve devam eden bir bakım bileşeni aracılığıyla yapılmalıdır.
Keşfedilen güvenlik açıkları 5 Ekim'de Coursera'nın güvenlik ekibine sunuldu.. Şirketin raporu aldığına ve üzerinde çalıştığına dair onay 26 Ekim'de geldi ve Coursera daha sonra Cherkmarx'a sorunları 18 Aralık ile 2 Ocak arasında çözdüklerini söyleyerek yazdı ve Coursera daha sonra yeni bir sorunla yeni bir test raporu gönderdi. En sonunda, 24 Mayıs'ta Coursera, tüm sorunların giderildiğini doğruladı.
Açıklamadan düzeltmeye kadar geçen oldukça uzun bir süreye rağmen, araştırmacılar Coursera güvenlik ekibiyle birlikte çalışmanın bir zevk olduğunu söyledi.
"Profesyonellikleri ve işbirliklerinin yanı sıra üstlendikleri hızlı mülkiyet, yazılım şirketleriyle ilişki kurarken dört gözle beklediğimiz şeydir" diye bitirdiler.
kaynak: https://www.checkmarx.com