几天前 流行的在线课程平台Coursera中披露了一个漏洞 是他的问题出在 API 上,所以 认为黑客极有可能滥用“BOLA”漏洞 了解用户的课程偏好,以及扭曲用户的课程选项。
此外,还认为最近披露的漏洞可能在修复之前暴露了用户数据。 这些 研究人员发现了缺陷 应用安全测试公司 Checkmarx 并在过去一周内发布。
漏洞 与各种 Coursera 应用程序编程接口相关 研究人员决定深入研究 Coursera 的安全性,因为由于 COVID-19 大流行,Coursera 通过转向工作和在线学习而越来越受欢迎。
对于不熟悉 Coursera 的人来说,应该知道这是一家拥有 82 万用户、与 200 多家公司和大学合作的公司。 值得注意的合作伙伴包括伊利诺伊大学、杜克大学、谷歌、密歇根大学、国际商业机器、伦敦帝国理工学院、斯坦福大学和宾夕法尼亚大学。
发现了各种 API 问题,包括通过密码重置功能进行的用户/帐户枚举, 缺乏资源限制了 GraphQL API 和 REST,以及不正确的 GraphQL 配置。 特别是,损坏的对象级授权问题位居榜首。
当作为普通用户(学生)与 Coursera Web 应用程序交互时,我们注意到最近查看的课程显示在用户界面中。 为了表示此信息,我们检测到同一端点的多个 API GET 请求:/api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}。
BOLA API 漏洞被描述为受影响的用户偏好。 利用该漏洞,即使是匿名用户也能够检索首选项,但也可以更改它们。 一些首选项,例如最近查看的课程和认证,也会过滤掉一些元数据。 API 中的 BOLA 缺陷会暴露端点 处理对象标识符,这可能为更广泛的攻击打开大门。
«该漏洞可能已被滥用以大规模了解一般用户的课程偏好,但也会以某种方式扭曲用户的选择,因为对他们最近活动的操纵影响了在 Coursera 主页上显示的特定内容用户,”研究人员解释说。
“不幸的是,API 的授权问题很常见,”研究人员说。 “将访问控制验证集中在单个组件中非常重要,经过良好测试、持续测试和积极维护。 新的 API 端点或对现有端点的更改应根据其安全要求进行仔细审查。”
研究人员指出,授权问题在 API 中很常见,因此集中访问控制验证很重要。 这样做必须通过一个单一的、经过良好测试的和持续的维护组件。
发现的漏洞已于 5 月 XNUMX 日提交给 Coursera 的安全团队. 该公司于 26 月 18 日确认收到该报告并正在处理该报告,Coursera 随后写信给 Cherkmarx,称他们已在 2 月 XNUMX 日至 XNUMX 月 XNUMX 日期间解决了问题,然后 Coursera 发送了一份新测试报告,其中包含一个新问题。 最后, 24 月 XNUMX 日,Coursera 确认所有问题都已修复。
尽管从披露到纠正需要相当长的时间,但研究人员表示,与 Coursera 安全团队合作很愉快。
“他们的专业精神和合作,以及他们所承担的迅速所有权,是我们与软件公司合作时所期待的,”他们总结道。
数据来源: https://www.checkmarx.com