ProHoster > وبلاگ > اخبار اینترنتی > حمله به HackerOne، اجازه دسترسی به گزارش‌های آسیب‌پذیری بسته را می‌دهد

حمله به HackerOne، اجازه دسترسی به گزارش‌های آسیب‌پذیری بسته را می‌دهد

HackerOne، پلتفرمی که به محققان امنیتی اجازه می‌دهد تا توسعه‌دهندگان را از کشف آسیب‌پذیری‌ها مطلع کرده و در ازای آن پاداش دریافت کنند، ... گزارش درباره هک خودش. یکی از محققان موفق شد به حساب کاربری یک تحلیلگر امنیتی در HackerOne دسترسی پیدا کند که به او اجازه می‌داد مطالب طبقه‌بندی‌شده، از جمله اطلاعات مربوط به آسیب‌پذیری‌های وصله نشده، را مشاهده کند. از زمان آغاز به کار این پلتفرم، محققان در مجموع ۲۳ میلیون دلار از طریق HackerOne برای شناسایی آسیب‌پذیری‌ها در محصولات بیش از ۱۰۰ مشتری، از جمله توییتر، فیس‌بوک، گوگل، اپل، مایکروسافت، اسلک، پنتاگون و نیروی دریایی ایالات متحده، دریافت کرده‌اند.

شایان ذکر است که تصاحب حساب کاربری به دلیل خطای انسانی امکان‌پذیر شده است. یکی از محققان، گزارش آسیب‌پذیری بالقوه‌ای را برای بررسی به HackerOne ارسال کرد. یک تحلیلگر HackerOne در طول فرآیند بررسی تلاش کرد تا روش هک پیشنهادی را تکرار کند، اما این مشکل قابل تکرار نبود و باعث شد درخواست‌کننده جزئیات بیشتری را درخواست کند. با این حال، تحلیلگر متوجه نشد که محتوای کوکی جلسه خود را به همراه نتایج اسکن ناموفق نادیده گرفته است. به طور خاص، در طول مکالمه، تحلیلگر نمونه‌ای از یک درخواست HTTP اجرا شده با استفاده از ابزار curl، از جمله هدرهای HTTP که فراموش کرده بود محتوای کوکی جلسه را از آنها پاک کند، ارائه داد.

یک محقق متوجه این غفلت شد و توانست با وارد کردن مقدار کوکی مشاهده شده، بدون نیاز به احراز هویت چند عاملی، به یک حساب کاربری ممتاز در hackerone.com دسترسی پیدا کند. این حمله به این دلیل امکان‌پذیر بود که hackerone.com جلسات را به IP یا مرورگر کاربر متصل نمی‌کرد. شناسه جلسه متخلف دو ساعت پس از انتشار گزارش نقض امنیتی حذف شد. به این محقق برای گزارش این مشکل 20،000 دلار جایزه داده شد.

شرکت HackerOne یک ممیزی را برای تجزیه و تحلیل موارد احتمالی نشت کوکی‌های مشابه در گذشته و ارزیابی نشت‌های احتمالی اطلاعات حساس در مورد مشکلات مشتریان آغاز کرد. این ممیزی هیچ نشت قبلی پیدا نکرد و مشخص کرد که محققی که این مشکل را نشان داده است، می‌توانسته اطلاعاتی در مورد تقریباً ۵٪ از کل برنامه‌های موجود در سرویسی که تحلیلگر، که کلید جلسه‌اش استفاده شده است، به آن دسترسی داشته است، به دست آورد.

برای محافظت در برابر حملات مشابه در آینده، کلید جلسه به ... محدود می‌شود. آدرس آی پی و فیلتر کردن کلیدهای جلسه و توکن‌های احراز هویت در نظرات. قرار است در آینده، اتصال IP با اتصال به دستگاه‌های کاربر جایگزین شود، زیرا اتصال IP برای کاربرانی که آدرس‌های پویا دارند، ناخوشایند است. همچنین تصمیم گرفته شد که سیستم ثبت وقایع با اطلاعات مربوط به دسترسی کاربر به داده‌ها گسترش یابد و یک مدل دسترسی جزئی برای تحلیلگران به داده‌های مشتری پیاده‌سازی شود.

منبع: opennet.ru

خرید هاست قابل اعتماد برای سایت های دارای حفاظت DDoS، سرورهای VPS VDS 🔥 خرید هاستینگ معتبر با محافظت در برابر حملات DDoS، سرورهای VPS و VDS | ProHoster