Platfòm HackerOne a, ki pèmèt chèchè sekirite yo enfòme devlopè yo sou idantifye frajilite yo ak resevwa rekonpans pou sa a, te resevwa sou pwòp piratage ou. Youn nan chèchè yo te rive jwenn aksè nan kont yon analis sekirite nan HackerOne, ki gen kapasite pou wè materyèl klase, ki gen ladan enfòmasyon sou frajilite ki poko fikse. Depi kreyasyon platfòm la, HackerOne te peye chèchè yo yon total de $23 milyon dola pou idantifye frajilite nan pwodwi ki soti nan plis pase 100 kliyan, tankou Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagòn, ak US Navy.
Li enpòtan pou remake ke kontwòl kont lan te vin posib akòz erè imen. Youn nan chèchè yo te soumèt yon aplikasyon pou revizyon sou yon vilnerabilite potansyèl nan HackerOne. Pandan analiz aplikasyon an, yon analis HackerOne te eseye repete metòd piratage yo pwopoze a, men pwoblèm nan pa t 'kapab repwodui, epi yo te voye yon repons bay otè aplikasyon an pou mande plis detay. An menm tan an, analis la pa t remake ke, ansanm ak rezilta yo nan yon chèk san siksè, li envolontè voye sa ki nan sesyon li Cookie. An patikilye, pandan dyalòg la, analis la te bay yon egzanp yon demann HTTP ki te fèt pa sèvis piblik la boukl, ki gen ladan HTTP headers, ki soti nan ki li te bliye klè sa ki nan sesyon an Cookie.
Chèchè a te remake sipèvizyon sa a epi li te kapab jwenn aksè nan yon kont privilejye sou hackerone.com lè li tou senpleman mete valè a Cookie remake san yo pa oblije ale nan otantifikasyon milti-faktè yo itilize nan sèvis la. Atak la te posib paske hackerone.com pa t 'mare sesyon an nan IP itilizatè a oswa navigatè. ID sesyon pwoblèm lan te efase de zè de tan apre rapò fuit la te pibliye. Li te deside peye chèchè a 20 mil dola pou enfòme sou pwoblèm nan.
HackerOne te inisye yon odit pou analize ensidan an posib nan fwit bonbon ki sanble nan tan lontan an ak evalye fwit potansyèl nan enfòmasyon propriétaires sou pwoblèm yo nan kliyan sèvis yo. Odit la pa t revele prèv koule nan tan lontan an epi li te detèmine ke chèchè ki te demontre pwoblèm nan te kapab jwenn enfòmasyon sou apeprè 5% nan tout pwogram ki te prezante nan sèvis la ki te aksesib pou analis ki te itilize kle sesyon an.
Pou pwoteje kont atak menm jan an nan tan kap vini an, nou aplike obligatwa nan kle sesyon an nan adrès IP la ak filtraj nan kle sesyon ak marqueur otantifikasyon nan kòmantè. Nan tan kap vini an, yo planifye pou ranplase obligatwa nan IP ak obligatwa nan aparèy itilizatè yo, depi obligatwa nan IP se enkonvenyan pou itilizatè ki gen adrès ki bay dinamik. Li te tou deside elaji sistèm nan boutèy demi lit ak enfòmasyon sou aksè itilizatè a done epi aplike yon modèl aksè granulaire pou analis nan done kliyan.
Sous: opennet.ru