Platform HackerOne, sing ngidini peneliti keamanan ngandhani pangembang babagan ngenali kerentanan lan nampa hadiah kanggo iki, ditampa. babagan hacking sampeyan dhewe. Salah sawijining peneliti bisa entuk akses menyang akun analis keamanan ing HackerOne, sing nduweni kemampuan kanggo ndeleng materi sing diklasifikasikake, kalebu informasi babagan kerentanan sing durung diatasi. Wiwit wiwitan platform kasebut, HackerOne wis mbayar peneliti total $23 yuta kanggo ngenali kerentanan ing produk saka luwih saka 100 klien, kalebu Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon, lan Angkatan Laut AS.
Wigati dimangerteni manawa pengambilalihan akun bisa ditindakake amarga kesalahan manungsa. Salah sawijining peneliti ngirim aplikasi kanggo ditinjau babagan kerentanan potensial ing HackerOne. Sajrone analisis aplikasi kasebut, analis HackerOne nyoba ngulang cara hacking sing diusulake, nanging masalah kasebut ora bisa diulang, lan tanggapan dikirim menyang penulis aplikasi sing njaluk rincian tambahan. Ing wektu sing padha, analis ora weruh yen, bebarengan karo asil mriksa sing ora kasil, dheweke ora sengaja ngirim isi Cookie sesi. Utamane, sajrone dialog kasebut, analis menehi conto panjaluk HTTP sing digawe dening utilitas curl, kalebu header HTTP, saka ngendi dheweke kelalen mbusak isi Cookie sesi.
Peneliti weruh pengawasan iki lan bisa entuk akses menyang akun hak istimewa ing hackerone.com kanthi mung nglebokake nilai Cookie sing dicathet tanpa kudu ngliwati otentikasi multi-faktor sing digunakake ing layanan kasebut. Serangan kasebut bisa ditindakake amarga hackerone.com ora ngiket sesi kasebut menyang IP utawa browser pangguna. ID sesi masalah wis dibusak rong jam sawise laporan bocor diterbitake. Diputusake kanggo mbayar peneliti 20 ewu dolar kanggo menehi informasi babagan masalah kasebut.
HackerOne miwiti audit kanggo nganalisa kemungkinan kedadeyan bocor Cookie sing padha ing jaman kepungkur lan kanggo netepake kemungkinan bocor informasi kepemilikan babagan masalah pelanggan layanan. Audit kasebut ora nuduhake bukti bocor ing jaman kepungkur lan nemtokake manawa peneliti sing nduduhake masalah kasebut bisa entuk informasi babagan kira-kira 5% kabeh program sing disajikake ing layanan sing bisa diakses dening analis sing kunci sesi digunakake.
Kanggo nglindhungi saka serangan sing padha ing mangsa ngarep, kita ngetrapake kunci sesi menyang alamat IP lan nyaring tombol sesi lan token otentikasi ing komentar. Ing mangsa ngarep, dheweke ngrancang ngganti ikatan menyang IP kanthi ngiket menyang piranti pangguna, amarga ngiket IP ora trep kanggo pangguna kanthi alamat sing ditanggepi kanthi dinamis. Sampeyan uga mutusake kanggo ngembangake sistem log kanthi informasi babagan akses pangguna menyang data lan ngetrapake model akses granular kanggo analis menyang data pelanggan.
Source: opennet.ru