D'HackerOne Plattform, déi d'Sécherheetsfuerscher erlaabt d'Entwéckler z'informéieren iwwer d'Identifikatioun vu Schwachstelle a Belounungen dofir ze kréien, krut iwwer Ären eegene Hacking. Ee vun de Fuerscher huet et fäerdeg bruecht Zougang zum Kont vun engem Sécherheetsanalytiker bei HackerOne ze kréien, deen d'Fäegkeet huet fir klasséiert Materialien ze gesinn, och Informatioun iwwer Schwachstelle, déi nach net fixéiert goufen. Zënter der Grënnung vun der Plattform huet HackerOne Fuerscher insgesamt $ 23 Millioune bezuelt fir Schwachstelle vu Produkter vu méi wéi 100 Clienten z'identifizéieren, dorënner Twitter, Facebook, Google, Apple, Microsoft, Slack, de Pentagon, an d'US Navy.
Et ass bemierkenswäert datt d'Iwwerhuele vun de Konten duerch mënschleche Feeler méiglech ass. Ee vun de Fuerscher huet eng Demande fir Iwwerpréiwung iwwer eng potenziell Schwachstelle am HackerOne ofginn. Wärend der Analyse vun der Applikatioun huet en HackerOne Analyst probéiert déi proposéiert Hacking-Methode ze widderhuelen, awer de Problem konnt net reproduzéiert ginn, an eng Äntwert gouf un den Auteur vun der Applikatioun geschéckt fir zousätzlech Detailer ze froen. Zur selwechter Zäit huet den Analyst net gemierkt datt hien, zesumme mat de Resultater vun engem net erfollegräiche Scheck, den Inhalt vu senger Sessioun Cookie geschéckt huet. Besonnesch während dem Dialog huet den Analyst e Beispill vun enger HTTP-Ufro gemaach vum Curl-Utility, dorënner HTTP-Header, aus deem hien vergiess huet den Inhalt vun der Sessioun Cookie ze läschen.
De Fuerscher huet dës Iwwerwaachung gemierkt a konnt Zougang zu engem privilegiéierte Kont op hackerone.com kréien andeems Dir einfach de bemierkten Cookie-Wäert asetzt ouni duerch d'Multi-Faktor Authentifikatioun ze goen, déi am Service benotzt gëtt. D'Attack war méiglech well hackerone.com d'Sessioun net un d'IP oder de Browser vum Benotzer gebonnen huet. Déi problematesch Sessiouns-ID gouf zwou Stonnen no der Verëffentlechung vum Leckbericht geläscht. Et gouf decidéiert de Fuerscher 20 Tausend Dollar ze bezuelen fir iwwer de Problem z'informéieren.
HackerOne huet en Audit initiéiert fir d'méiglech Optriede vun ähnlechen Cookie Leckage an der Vergaangenheet ze analyséieren an potenziell Leckage vun propriétaire Informatioun iwwer d'Problemer vun de Service Clienten ze bewäerten. Den Audit huet keng Beweiser vu Leckage an der Vergaangenheet opgedeckt a festgestallt datt de Fuerscher, deen de Problem bewisen huet, Informatioun iwwer ongeféier 5% vun alle Programmer kritt, déi am Service presentéiert goufen, déi zougänglech waren fir den Analyst deem säi Sessiounsschlëssel benotzt gouf.
Fir géint ähnlech Attacken an Zukunft ze schützen, hu mir d'Bindung vum Sessiounsschlëssel un d'IP Adress an d'Filterung vun de Sessiounsschlësselen an d'Authentifikatiounstoken an de Kommentaren ëmgesat. An Zukunft plangen se d'Bindung op IP duerch Bindung un Benotzergeräter ze ersetzen, well d'Bindung un IP ass onbequem fir Benotzer mat dynamesch erausginn Adressen. Et gouf och beschloss, de Logsystem mat Informatioun iwwer de Benotzer Zougang zu Daten auszebauen an e Modell vu granulären Zougang fir Analysten op Clientdaten ëmzesetzen.
Source: opennet.ru