Fhuair an àrd-ùrlar HackerOne, a leigeas le luchd-rannsachaidh tèarainteachd fiosrachadh a thoirt do luchd-leasachaidh mu bhith a’ comharrachadh so-leòntachd agus duaisean fhaighinn airson seo.
Bu chòir a thoirt fa-near gun robh e comasach an cunntas a ghabhail thairis air sgàth mearachd daonna. Chuir aon den luchd-rannsachaidh iarrtas a-steach airson ath-sgrùdadh mu dheidhinn so-leòntachd a dh’ fhaodadh a bhith ann an HackerOne. Rè mion-sgrùdadh an tagraidh, dh’ fheuch anailisiche HackerOne ris an dòigh hacaidh a chaidh a mholadh a-rithist, ach cha b’ urrainnear an duilgheadas ath-riochdachadh, agus chaidh freagairt a chuir gu ùghdar an tagraidh ag iarraidh mion-fhiosrachadh a bharrachd. Aig an aon àm, cha do mhothaich an neach-anailis, còmhla ri toraidhean sgrùdadh neo-shoirbheachail, gun do chuir e susbaint an t-seisein aige Cookie gu mì-fhortanach. Gu sònraichte, rè a ’chòmhraidh, thug an anailisiche seachad eisimpleir de iarrtas HTTP a rinn an goireas curl, a’ toirt a-steach cinn-cinn HTTP, às an do dhìochuimhnich e susbaint an t-seisein Cookie a ghlanadh.
Mhothaich an neach-rannsachaidh an ro-shealladh seo agus bha e comasach dha faighinn gu cunntas sochair air hackerone.com le bhith dìreach a’ cuir a-steach an luach Cookie a chaidh fhaicinn gun a dhol tron dearbhadh ioma-fhactaraidh a chaidh a chleachdadh san t-seirbheis. Bha an ionnsaigh comasach oir cha do cheangail hackerone.com an seisean ri IP no brobhsair an neach-cleachdaidh. Chaidh ID an t-seisein trioblaideach a dhubhadh às dà uair an dèidh don aithisg aodion fhoillseachadh. Chaidh co-dhùnadh 20 mìle dolar a phàigheadh don neach-rannsachaidh airson fiosrachadh mun duilgheadas.
Thòisich HackerOne sgrùdadh gus sgrùdadh a dhèanamh air na dh’ fhaodadh tachairt de aoidion Cookie coltach ris san àm a dh’ fhalbh agus gus measadh a dhèanamh air aodion fiosrachaidh seilbh mu dhuilgheadasan luchd-ceannach seirbheis. Cha do nochd an sgrùdadh fianais mu aoidion san àm a dh’ fhalbh agus cho-dhùin e gum faodadh an neach-rannsachaidh a sheall an duilgheadas fiosrachadh fhaighinn mu timcheall air 5% de na prògraman air fad a chaidh a thaisbeanadh san t-seirbheis a bha ruigsinneach don anailisiche a chaidh an iuchair seisean a chleachdadh.
Gus dìon an aghaidh ionnsaighean coltach ris san àm ri teachd, chuir sinn an gnìomh ceangal iuchair an t-seisein gu seòladh IP agus sìoladh iuchraichean seisean agus comharran dearbhaidh ann am beachdan. Anns an àm ri teachd, tha iad an dùil ceangal ri IP a chuir an àite ceangal ri innealan luchd-cleachdaidh, leis gu bheil ceangal ri IP mì-ghoireasach do luchd-cleachdaidh le seòlaidhean a chaidh a chuir a-mach gu dinamach. Chaidh co-dhùnadh cuideachd an siostam log a leudachadh le fiosrachadh mu ruigsinneachd luchd-cleachdaidh air dàta agus modal ruigsinneachd granular a chuir an gnìomh airson luchd-anailis air dàta teachdaiche.
Source: fosgailtenet.ru