ProHoster > وبلاگ > اخبار اینترنتی > حمله به HackerOne، اجازه دسترسی به گزارش‌های آسیب‌پذیری بسته را می‌دهد

حمله به HackerOne، اجازه دسترسی به گزارش‌های آسیب‌پذیری بسته را می‌دهد

پلتفرم HackerOne که به محققان امنیتی اجازه می‌دهد توسعه‌دهندگان را در مورد شناسایی آسیب‌پذیری‌ها آگاه کنند و برای این کار پاداش دریافت کنند، دریافت کرد. گزارش در مورد هک خود شما یکی از محققان موفق شد به حساب یک تحلیلگر امنیتی در HackerOne دسترسی پیدا کند که توانایی مشاهده مطالب طبقه بندی شده، از جمله اطلاعات مربوط به آسیب پذیری هایی را دارد که هنوز رفع نشده است. از زمان تأسیس این پلتفرم، HackerOne در مجموع 23 میلیون دلار برای شناسایی آسیب‌پذیری‌های محصولات بیش از 100 مشتری، از جمله توییتر، فیس‌بوک، گوگل، اپل، مایکروسافت، اسلک، پنتاگون و نیروی دریایی ایالات متحده به محققان پرداخت کرده است.

قابل ذکر است که تصاحب حساب به دلیل خطای انسانی امکان پذیر شد. یکی از محققان درخواستی را برای بررسی در مورد یک آسیب پذیری احتمالی در HackerOne ارسال کرد. در طول تجزیه و تحلیل برنامه، یک تحلیلگر HackerOne سعی کرد روش هک پیشنهادی را تکرار کند، اما مشکل قابل تکرار نبود و پاسخی برای نویسنده برنامه ارسال شد و جزئیات بیشتری را درخواست کرد. در همان زمان، تحلیلگر متوجه نشد که همراه با نتایج یک بررسی ناموفق، او به طور ناخواسته محتوای Cookie جلسه خود را ارسال کرده است. به طور خاص، در طول گفت و گو، تحلیلگر نمونه ای از درخواست HTTP ارائه شده توسط ابزار curl، از جمله هدرهای HTTP را ارائه کرد، که فراموش کرد محتویات Cookie جلسه را پاک کند.

محقق متوجه این نظارت شد و توانست به سادگی با درج مقدار کوکی مشاهده شده بدون نیاز به احراز هویت چند عاملی مورد استفاده در سرویس، به یک حساب کاربری ممتاز در hackerone.com دسترسی پیدا کند. این حمله ممکن بود زیرا hackerone.com جلسه را به IP یا مرورگر کاربر متصل نکرده بود. شناسه جلسه مشکل دار دو ساعت پس از انتشار گزارش نشت حذف شد. مقرر شد برای اطلاع از مشکل، مبلغ 20 هزار دلار به محقق پرداخت شود.

HackerOne ممیزی را برای تجزیه و تحلیل وقوع احتمالی نشت کوکی های مشابه در گذشته و ارزیابی نشت اطلاعات اختصاصی در مورد مشکلات مشتریان خدمات آغاز کرد. ممیزی شواهدی از نشت در گذشته نشان نداد و مشخص کرد که محققی که مشکل را نشان می‌دهد می‌تواند اطلاعاتی در مورد تقریباً 5 درصد از همه برنامه‌های ارائه‌شده در سرویس به دست آورد که برای تحلیل‌گری که از کلید جلسه‌اش استفاده شده بود، در دسترس بود.

برای محافظت در برابر حملات مشابه در آینده، اتصال کلید جلسه به آدرس IP و فیلتر کردن کلیدهای جلسه و نشانه های احراز هویت را در نظرات پیاده سازی کردیم. در آینده، آن‌ها قصد دارند اتصال به IP را با اتصال به دستگاه‌های کاربر جایگزین کنند، زیرا اتصال به IP برای کاربران با آدرس‌های صادر شده به صورت پویا ناخوشایند است. همچنین تصمیم بر آن شد که سیستم گزارش با اطلاعاتی در مورد دسترسی کاربران به داده ها گسترش یابد و مدلی از دسترسی گرانول برای تحلیلگران به داده های مشتری پیاده سازی شود.

منبع: opennet.ru