A piattaforma HackerOne, chì permette à i ricercatori di sicurezza per informà i sviluppatori nantu à l'identificazione di vulnerabili è riceve ricumpensa per questu, hà ricevutu
Hè nutate chì l'acquistu di u contu hè diventatu pussibule per un errore umanu. Unu di i circadori hà sottumessu una dumanda per rivisione nantu à una vulnerabilità potenziale in HackerOne. Durante l'analisi di l'applicazione, un analista di HackerOne hà pruvatu à ripetiri u metudu di pirate propositu, ma u prublema ùn pò micca esse ripruduciutu, è una risposta hè stata mandata à l'autore di l'applicazione per dumandà dettagli supplementari. À u listessu tempu, l'analista ùn hà micca nutatu chì, cù i risultati di un cuntrollu senza successu, hà mandatu inadvertitu u cuntenutu di a so sessione Cookie. In particulare, durante u dialogu, l'analista hà datu un esempiu di una dumanda HTTP fatta da l'utilità curl, cumprese l'intestazione HTTP, da quale hà scurdatu di sguassà u cuntenutu di a sessione Cookie.
L'investigatore hà nutatu questu oversight è hà sappiutu acquistà l'accessu à un contu privilegiatu in hackerone.com da solu inserisce u valore Cookie nutatu senza avè da passà per l'autentificazione multifattore utilizata in u serviziu. L'attaccu era pussibule perchè hackerone.com ùn hà micca ligatu a sessione à l'IP di l'utilizatore o u navigatore. L'ID di sessione problematica hè stata sguassata duie ore dopu chì u rapportu di fuga hè statu publicatu. Hè statu decisu di pagà à l'investigatore 20 mila dollari per avè infurmatu nantu à u prublema.
HackerOne hà iniziatu un auditu per analizà a pussibilità di l'ocurrenza di filtrazioni di Cookie simili in u passatu è per valutà e fughe potenziali di l'infurmazioni proprietarii nantu à i prublemi di i clienti di serviziu. L'auditu ùn hà micca revelatu evidenza di filtrazioni in u passatu è hà determinatu chì l'investigatore chì hà dimustratu u prublema puderia ottene infurmazioni nantu à circa 5% di tutti i prugrammi presentati in u serviziu chì eranu accessibili à l'analista chì a chjave di sessione hè stata utilizata.
Per pruteggiri contra attacchi simili in u futuru, avemu implementatu u ligame di a chjave di sessione à l'indirizzu IP è u filtru di e chjave di sessione è i tokens d'autentificazione in i cumenti. In u futuru, pensanu di rimpiazzà u ligame à l'IP cù ubligatoriu à i dispositi di l'utilizatori, postu chì u ligame à l'IP hè inconveniente per l'utilizatori cù indirizzi emessi dinamicamente. Hè statu ancu decisu di espansione u sistema di logu cù infurmazioni nantu à l'accessu di l'utilizatori à e dati è implementà un mudellu d'accessu granulare per l'analista à i dati di i clienti.
Source: opennet.ru