ದುರ್ಬಲತೆಗಳನ್ನು ಗುರುತಿಸುವ ಬಗ್ಗೆ ಡೆವಲಪರ್ಗಳಿಗೆ ತಿಳಿಸಲು ಮತ್ತು ಇದಕ್ಕಾಗಿ ಪ್ರತಿಫಲವನ್ನು ಪಡೆಯಲು ಭದ್ರತಾ ಸಂಶೋಧಕರಿಗೆ ಅನುಮತಿಸುವ HackerOne ಪ್ಲಾಟ್ಫಾರ್ಮ್ ಸ್ವೀಕರಿಸಲಾಗಿದೆ ನಿಮ್ಮ ಸ್ವಂತ ಹ್ಯಾಕಿಂಗ್ ಬಗ್ಗೆ. ಸಂಶೋಧಕರಲ್ಲಿ ಒಬ್ಬರು ಹ್ಯಾಕರ್ಒನ್ನಲ್ಲಿ ಭದ್ರತಾ ವಿಶ್ಲೇಷಕರ ಖಾತೆಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ನಿರ್ವಹಿಸುತ್ತಿದ್ದರು, ಅವರು ಇನ್ನೂ ಸರಿಪಡಿಸದಿರುವ ದುರ್ಬಲತೆಗಳ ಬಗ್ಗೆ ಮಾಹಿತಿಯನ್ನು ಒಳಗೊಂಡಂತೆ ವರ್ಗೀಕೃತ ವಸ್ತುಗಳನ್ನು ವೀಕ್ಷಿಸುವ ಸಾಮರ್ಥ್ಯವನ್ನು ಹೊಂದಿದ್ದಾರೆ. ಪ್ಲಾಟ್ಫಾರ್ಮ್ನ ಆರಂಭದಿಂದಲೂ, Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon ಮತ್ತು US ನೇವಿ ಸೇರಿದಂತೆ 23 ಕ್ಕೂ ಹೆಚ್ಚು ಗ್ರಾಹಕರ ಉತ್ಪನ್ನಗಳಲ್ಲಿನ ದೋಷಗಳನ್ನು ಗುರುತಿಸಲು HackerOne ಸಂಶೋಧಕರಿಗೆ ಒಟ್ಟು $100 ಮಿಲಿಯನ್ ಪಾವತಿಸಿದೆ.
ಮಾನವ ತಪ್ಪಿನಿಂದಾಗಿ ಖಾತೆ ಸ್ವಾಧೀನ ಸಾಧ್ಯವಾಯಿತು ಎಂಬುದು ಗಮನಾರ್ಹ. ಸಂಶೋಧಕರೊಬ್ಬರು ಹ್ಯಾಕರ್ಒನ್ನಲ್ಲಿ ಸಂಭಾವ್ಯ ದುರ್ಬಲತೆಯ ಬಗ್ಗೆ ಪರಿಶೀಲನೆಗಾಗಿ ಅರ್ಜಿಯನ್ನು ಸಲ್ಲಿಸಿದ್ದಾರೆ. ಅಪ್ಲಿಕೇಶನ್ನ ವಿಶ್ಲೇಷಣೆಯ ಸಮಯದಲ್ಲಿ, HackerOne ವಿಶ್ಲೇಷಕರು ಉದ್ದೇಶಿತ ಹ್ಯಾಕಿಂಗ್ ವಿಧಾನವನ್ನು ಪುನರಾವರ್ತಿಸಲು ಪ್ರಯತ್ನಿಸಿದರು, ಆದರೆ ಸಮಸ್ಯೆಯನ್ನು ಪುನರುತ್ಪಾದಿಸಲು ಸಾಧ್ಯವಾಗಲಿಲ್ಲ ಮತ್ತು ಹೆಚ್ಚುವರಿ ವಿವರಗಳನ್ನು ವಿನಂತಿಸಿ ಅಪ್ಲಿಕೇಶನ್ನ ಲೇಖಕರಿಗೆ ಪ್ರತಿಕ್ರಿಯೆಯನ್ನು ಕಳುಹಿಸಲಾಗಿದೆ. ಅದೇ ಸಮಯದಲ್ಲಿ, ವಿಫಲ ಪರಿಶೀಲನೆಯ ಫಲಿತಾಂಶಗಳ ಜೊತೆಗೆ, ಅವರು ತಮ್ಮ ಅಧಿವೇಶನದ ವಿಷಯಗಳನ್ನು ಅಜಾಗರೂಕತೆಯಿಂದ ಕಳುಹಿಸಿದ್ದಾರೆ ಎಂದು ವಿಶ್ಲೇಷಕರು ಗಮನಿಸಲಿಲ್ಲ ಕುಕಿ . ನಿರ್ದಿಷ್ಟವಾಗಿ ಹೇಳುವುದಾದರೆ, ಸಂವಾದದ ಸಮಯದಲ್ಲಿ, ವಿಶ್ಲೇಷಕರು HTTP ಹೆಡರ್ಗಳನ್ನು ಒಳಗೊಂಡಂತೆ ಕರ್ಲ್ ಯುಟಿಲಿಟಿ ಮಾಡಿದ HTTP ವಿನಂತಿಯ ಉದಾಹರಣೆಯನ್ನು ನೀಡಿದರು, ಇದರಿಂದ ಅವರು ಸೆಷನ್ ಕುಕಿಯ ವಿಷಯಗಳನ್ನು ತೆರವುಗೊಳಿಸಲು ಮರೆತಿದ್ದಾರೆ.
ಸಂಶೋಧಕರು ಈ ಮೇಲ್ವಿಚಾರಣೆಯನ್ನು ಗಮನಿಸಿದರು ಮತ್ತು ಸೇವೆಯಲ್ಲಿ ಬಳಸಲಾದ ಬಹು-ಅಂಶದ ದೃಢೀಕರಣದ ಮೂಲಕ ಹೋಗದೆಯೇ ಗಮನಿಸಿದ ಕುಕೀ ಮೌಲ್ಯವನ್ನು ಸರಳವಾಗಿ ಸೇರಿಸುವ ಮೂಲಕ hackerone.com ನಲ್ಲಿ ವಿಶೇಷ ಖಾತೆಗೆ ಪ್ರವೇಶವನ್ನು ಪಡೆಯಲು ಸಾಧ್ಯವಾಯಿತು. hackerone.com ಬಳಕೆದಾರರ IP ಅಥವಾ ಬ್ರೌಸರ್ಗೆ ಸೆಶನ್ ಅನ್ನು ಬಂಧಿಸದ ಕಾರಣ ದಾಳಿ ಸಾಧ್ಯವಾಗಿದೆ. ಸೋರಿಕೆ ವರದಿ ಪ್ರಕಟವಾದ ಎರಡು ಗಂಟೆಗಳ ನಂತರ ಸಮಸ್ಯಾತ್ಮಕ ಸೆಷನ್ ಐಡಿಯನ್ನು ಅಳಿಸಲಾಗಿದೆ. ಸಮಸ್ಯೆಯ ಬಗ್ಗೆ ತಿಳಿಸಲು ಸಂಶೋಧಕರಿಗೆ 20 ಸಾವಿರ ಡಾಲರ್ ಪಾವತಿಸಲು ನಿರ್ಧರಿಸಲಾಯಿತು.
ಹಿಂದೆ ಇದೇ ರೀತಿಯ ಕುಕಿ ಸೋರಿಕೆಗಳ ಸಂಭವನೀಯ ಸಂಭವವನ್ನು ವಿಶ್ಲೇಷಿಸಲು ಮತ್ತು ಸೇವಾ ಗ್ರಾಹಕರ ಸಮಸ್ಯೆಗಳ ಬಗ್ಗೆ ಸ್ವಾಮ್ಯದ ಮಾಹಿತಿಯ ಸಂಭಾವ್ಯ ಸೋರಿಕೆಯನ್ನು ನಿರ್ಣಯಿಸಲು ಹ್ಯಾಕರ್ಒನ್ ಆಡಿಟ್ ಅನ್ನು ಪ್ರಾರಂಭಿಸಿತು. ಲೆಕ್ಕಪರಿಶೋಧನೆಯು ಹಿಂದೆ ಸೋರಿಕೆಗಳ ಪುರಾವೆಗಳನ್ನು ಬಹಿರಂಗಪಡಿಸಲಿಲ್ಲ ಮತ್ತು ಸಮಸ್ಯೆಯನ್ನು ಪ್ರದರ್ಶಿಸಿದ ಸಂಶೋಧಕರು ಸೇವೆಯಲ್ಲಿ ಪ್ರಸ್ತುತಪಡಿಸಿದ ಎಲ್ಲಾ ಕಾರ್ಯಕ್ರಮಗಳಲ್ಲಿ ಸರಿಸುಮಾರು 5% ರಷ್ಟು ಮಾಹಿತಿಯನ್ನು ಪಡೆಯಬಹುದು ಎಂದು ನಿರ್ಧರಿಸಿದರು, ಅದು ಅವರ ಅಧಿವೇಶನ ಕೀಲಿಯನ್ನು ಬಳಸಿದ ವಿಶ್ಲೇಷಕರಿಗೆ ಪ್ರವೇಶಿಸಬಹುದು.
ಭವಿಷ್ಯದಲ್ಲಿ ಇದೇ ರೀತಿಯ ದಾಳಿಯಿಂದ ರಕ್ಷಿಸಲು, ನಾವು ಸೆಷನ್ ಕೀಯನ್ನು IP ವಿಳಾಸಕ್ಕೆ ಬಂಧಿಸುವುದನ್ನು ಮತ್ತು ಕಾಮೆಂಟ್ಗಳಲ್ಲಿ ಸೆಷನ್ ಕೀಗಳು ಮತ್ತು ದೃಢೀಕರಣ ಟೋಕನ್ಗಳ ಫಿಲ್ಟರ್ ಮಾಡುವಿಕೆಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಿದ್ದೇವೆ. ಭವಿಷ್ಯದಲ್ಲಿ, ಅವರು ಐಪಿಗೆ ಬೈಂಡಿಂಗ್ ಅನ್ನು ಬಳಕೆದಾರರ ಸಾಧನಗಳಿಗೆ ಬಂಧಿಸುವ ಮೂಲಕ ಬದಲಾಯಿಸಲು ಯೋಜಿಸುತ್ತಾರೆ, ಏಕೆಂದರೆ ಕ್ರಿಯಾತ್ಮಕವಾಗಿ ನೀಡಿದ ವಿಳಾಸಗಳೊಂದಿಗೆ ಬಳಕೆದಾರರಿಗೆ ಐಪಿಗೆ ಬೈಂಡಿಂಗ್ ಅನಾನುಕೂಲವಾಗಿದೆ. ಡೇಟಾಗೆ ಬಳಕೆದಾರರ ಪ್ರವೇಶದ ಬಗ್ಗೆ ಮಾಹಿತಿಯೊಂದಿಗೆ ಲಾಗ್ ಸಿಸ್ಟಮ್ ಅನ್ನು ವಿಸ್ತರಿಸಲು ಮತ್ತು ಗ್ರಾಹಕರ ಡೇಟಾಗೆ ವಿಶ್ಲೇಷಕರಿಗೆ ಗ್ರ್ಯಾನ್ಯುಲರ್ ಪ್ರವೇಶದ ಮಾದರಿಯನ್ನು ಕಾರ್ಯಗತಗೊಳಿಸಲು ಸಹ ನಿರ್ಧರಿಸಲಾಯಿತು.
ಮೂಲ: opennet.ru