Аюулгүй байдлын судлаачдад сул талыг олж илрүүлэх талаар хөгжүүлэгчдэд мэдээлэх, үүний төлөө шагнал авах боломжийг олгодог HackerOne платформыг хүлээн авлаа. өөрийн хакердах тухай. Судлаачдын нэг нь HackerOne-ийн аюулгүй байдлын шинжээчийн данс руу нэвтэрч чадсан бөгөөд тэрээр нууцын зэрэглэлтэй материалууд, тэр дундаа хараахан засч амжаагүй байгаа эмзэг байдлын талаарх мэдээллийг үзэх чадвартай. Уг платформ байгуулагдсанаас хойш HackerOne нь Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон, АНУ-ын Тэнгисийн цэргийн хүчин зэрэг 23 гаруй үйлчлүүлэгчийн бүтээгдэхүүний эмзэг байдлыг илрүүлэхийн тулд нийт 100 сая долларыг судлаачдад төлсөн байна.
Хүний буруутай үйлдлээс болж дансыг нь авах боломжтой болсон нь анхаарал татаж байна. Судлаачдын нэг нь HackerOne-ийн болзошгүй эмзэг байдлын талаар хянуулах хүсэлт гаргасан. Аппликейшнд дүн шинжилгээ хийх явцад HackerOne-ийн шинжээч санал болгож буй хакердах аргыг давтахыг оролдсон боловч асуудлыг дахин гаргах боломжгүй байсан тул програмын зохиогчид нэмэлт мэдээлэл өгөхийг хүссэн хариу илгээсэн байна. Үүний зэрэгцээ шинжээч амжилтгүй шалгалтын үр дүнгийн хамт өөрийн хуралдааны агуулгыг санамсаргүйгээр илгээж байсныг анзаарсангүй. Ялангуяа, харилцан ярианы үеэр шинжээч Curl хэрэглүүрийн хийсэн HTTP хүсэлтийн жишээг өгөв, үүнд HTTP толгойг оруулаад, Cookie сессийн агуулгыг арилгахаа мартсан байна.
Судлаач энэ хяналтыг анзаарсан бөгөөд үйлчилгээнд ашигласан олон хүчин зүйлийн баталгаажуулалтыг хийлгүйгээр зүгээр л анзаарагдсан Cookie утгыг оруулснаар hackerone.com сайтын давуу эрхтэй данс руу нэвтрэх боломжтой болсон. Hackerone.com нь тухайн сессийг хэрэглэгчийн IP эсвэл хөтөчтэй холбосонгүй тул халдлага хийх боломжтой болсон. Асуудалтай сессийн ID-г алдагдсан тайлан нийтлэгдсэнээс хойш хоёр цагийн дараа устгасан. Асуудлыг мэдээлснийх нь төлөө судлаачид 20 мянган доллар төлөхөөр болсон.
HackerOne нь өмнө нь ижил төстэй күүки алдагдсан байж болзошгүй байдалд дүн шинжилгээ хийж, үйлчилгээний хэрэглэгчдийн асуудлын талаархи өмчийн мэдээллийн алдагдлыг үнэлэх зорилгоор аудитыг эхлүүлсэн. Аудит нь өнгөрсөн хугацаанд алдагдсан нотлох баримтыг илрүүлээгүй бөгөөд асуудлыг харуулсан судлаач сессийн түлхүүрийг ашигласан шинжээчийн хүртээмжтэй үйлчилгээнд танилцуулсан бүх програмын ойролцоогоор 5% -ийн талаар мэдээлэл авах боломжтой болохыг тогтоосон.
Ирээдүйд ижил төстэй халдлагаас хамгаалахын тулд сессийн түлхүүр нь заавал байх ёстой IP хаяг мөн сэтгэгдэл дэх сессийн түлхүүрүүд болон баталгаажуулалтын токенуудыг шүүх. Ирээдүйд IP холболтыг хэрэглэгчийн төхөөрөмжүүдтэй холбох замаар солихоор төлөвлөж байгаа, учир нь IP холболт нь динамикаар оноогдсон хаягтай хэрэглэгчдэд тохиромжгүй байдаг. Мөн бүртгэлийн системийг хэрэглэгчийн өгөгдөлд хандах хандалтын талаарх мэдээллээр өргөжүүлж, шинжээчдэд үйлчлүүлэгчийн өгөгдөлд нарийн хандалтын загварыг хэрэгжүүлэхээр шийдсэн.
Эх сурвалж: opennet.ru
