Кілька днів тому вразливість була виявлена на популярній онлайн-платформі курсів Coursera і полягає в тому, що проблема у нього була в API, тому вважається, що цілком можливо, що хакери могли зловживати вразливістю "BOLA" зрозуміти уподобання користувачів щодо курсу, а також перекосити параметри курсу користувача.
Крім того, також вважається, що нещодавно виявлені вразливості могли відкрити дані користувача перед відновленням. Ці недоліки були виявлені дослідниками з Росії компанія для тестування безпеки додатків Чекмарк та опубліковані протягом минулого тижня.
Вразливості стосуються різноманітних інтерфейсів прикладного програмування Coursera і дослідники вирішили заглибитися в безпеку Coursera через її зростаючу популярність через перехід на роботу та навчання в Інтернеті через пандемію COVID-19.
Для тих, хто не знайомий з Coursera, вам слід знати, що це компанія, яка має 82 мільйони користувачів і співпрацює з понад 200 компаніями та університетами. Помітні партнерські відносини включають Університет Іллінойсу, Університет Дьюка, Google, Університет Мічигану, Міжнародні ділові машини, Імперський коледж Лондона, Стенфордський університет та Університет Пенсільванії.
Виявлено різні проблеми з API, включаючи перелік користувачів / облікових записів за допомогою функції скидання пароля, відсутність ресурсів, що обмежують як GraphQL API, так і REST, і неправильна конфігурація GraphQL. Зокрема, проблема з дозволом на рівні непрацездатного об’єкта очолює список.
Взаємодіючи з веб-додатком Coursera як звичайні користувачі (студенти), ми помітили, що нещодавно переглянуті курси відображаються в інтерфейсі користувача. Для подання цієї інформації ми виявляємо кілька запитів API GET до однієї і тієї ж кінцевої точки: /api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}.
Вразливість BOLA API описується як позначені користувацькі уподобання. Скориставшись уразливістю, навіть анонімні користувачі змогли отримати налаштування, але також змінити їх. Деякі переваги, такі як нещодавно переглянуті курси та сертифікації, також відфільтровують деякі метадані. Недоліки BOLA в API можуть виявити кінцеві точки які обробляють ідентифікатори об’єктів, що може відкрити двері для ширших атак.
“Цією вразливістю можна було зловживати, щоб зрозуміти переваги курсу загальних користувачів у великому масштабі, а також якось перекосити вибір користувачів, оскільки маніпуляції з їх нещодавньою діяльністю вплинули на вміст, представлений на домашній сторінці Coursera для конкретного користувач », - пояснюють дослідники.
"На жаль, проблеми авторизації досить часто зустрічаються з API", - кажуть дослідники. «Дуже важливо централізувати перевірку контролю доступу в одному компоненті, добре протестованому, постійно перевіреному та активно підтримуваному. Нові кінцеві точки API або зміни до існуючих повинні бути ретельно перевірені з урахуванням їх вимог до безпеки ".
Дослідники зазначили, що проблеми авторизації досить часто зустрічаються з API, і тому важливо централізувати перевірку контролю доступу. Це слід робити за допомогою одного, добре перевіреного та постійного компонента технічного обслуговування.
Виявлені вразливості були передані команді безпеки Coursera 5 жовтня. Підтвердження того, що компанія отримала звіт і працює над ним, надійшло 26 жовтня, і згодом Курсер написав Cherkmarx, сказавши, що вони вирішили проблеми з 18 грудня по 2 січня, а потім Coursera надіслав звіт про новий тест з новою проблемою. Нарешті, 24 травня Курсра підтвердив, що всі проблеми були виправлені.
Незважаючи на досить довгий час від розголошення до виправлення, дослідники заявили, що з командою безпеки Coursera було приємно працювати.
"Їхній професіоналізм та співпраця, а також швидка власність, яку вони взяли на себе, є тим, чого ми з нетерпінням чекаємо при взаємодії з компаніями, що розробляють програмне забезпечення", - підсумували вони.
Фуенте: https://www.checkmarx.com