幾天前 流行的在線課程平台Coursera中披露了一個漏洞 是他的問題出在 API 上,所以 認為黑客極有可能濫用“BOLA”漏洞 了解用戶的課程偏好,以及扭曲用戶的課程選項。
此外,人們還認為,最近披露的漏洞可能在修復之前已經暴露了用戶數據。 這些 研究人員發現了缺陷 應用安全測試公司 校驗碼 並在過去一周內發布。
漏洞 與各種 Coursera 應用程序編程接口相關 研究人員決定深入研究 Coursera 的安全性,因為由於 COVID-19 大流行,Coursera 通過轉向工作和在線學習而越來越受歡迎。
對於不熟悉 Coursera 的人來說,應該知道這是一家擁有 82 萬用戶、與 200 多家公司和大學合作的公司。 值得注意的合作夥伴包括伊利諾伊大學、杜克大學、谷歌、密歇根大學、國際商業機器、倫敦帝國理工學院、斯坦福大學和賓夕法尼亞大學。
發現了各種 API 問題,包括通過密碼重置功能進行的用戶/帳戶枚舉, 缺乏資源限制了 GraphQL API 和 REST,以及不正確的 GraphQL 配置。 特別是,損壞的對象級授權問題位居榜首。
當作為普通用戶(學生)與 Coursera Web 應用程序交互時,我們注意到最近查看的課程顯示在用戶界面中。 為了表示此信息,我們檢測到同一端點的多個 API GET 請求:/api/userPreferences.v1/[USER_ID-lex.europa.eu~[PREFERENCE_TYPE}。
BOLA API 漏洞被描述為受影響的用戶偏好。 利用該漏洞,即使是匿名用戶也能夠檢索首選項,但也可以更改它們。 一些首選項,例如最近查看的課程和認證,也會過濾掉一些元數據。 API 中的 BOLA 缺陷會暴露端點 處理對象標識符,這可能為更廣泛的攻擊打開大門。
“這個漏洞可能被濫用來大規模了解一般用戶的課程偏好,但也會以某種方式扭曲用戶的選擇,因為對他們最近活動的操縱影響了主頁上顯示的特定內容用戶,”研究人員解釋說。
“不幸的是,API 的授權問題很常見,”研究人員說。 “將訪問控制驗證集中在單個組件中非常重要,經過良好測試、持續測試和積極維護。 新的 API 端點或對現有端點的更改應根據其安全要求進行仔細審查。”
研究人員指出,授權問題在 API 中很常見,因此集中訪問控制驗證很重要。 這樣做必須通過一個單一的、經過良好測試的、持續的維護組件來完成。
發現的漏洞已於 5 月 XNUMX 日提交給 Coursera 的安全團隊. 該公司於 26 月 18 日確認收到該報告並正在處理該報告,Coursera 隨後寫信給 Cherkmarx,稱他們已在 2 月 XNUMX 日至 XNUMX 月 XNUMX 日期間解決了這些問題,Coursera 隨後發送了一份帶有新問題的新測試報告。 最後, 24 月 XNUMX 日,Coursera 確認所有問題都已修復。
儘管從披露到糾正需要相當長的時間,但研究人員表示,與 Coursera 安全團隊合作很愉快。
“他們的專業精神和合作,以及他們所承擔的迅速所有權,是我們與軟件公司合作時所期待的,”他們總結道。