လုံခြုံရေးသုတေသီများအား အားနည်းချက်များကို ရှာဖွေဖော်ထုတ်ပြီး ယင်းအတွက် ဆုများရယူခြင်းအကြောင်း developer များအား အသိပေးရန် ခွင့်ပြုသည့် HackerOne ပလပ်ဖောင်း၊ သင်၏ကိုယ်ပိုင် hacking အကြောင်း။ သုတေသီများထဲမှတစ်ဦးသည် ပြုပြင်မွမ်းမံရသေးသည့် အားနည်းချက်များအကြောင်း အချက်အလက်အပါအဝင် အမျိုးအစားခွဲခြားထားသောပစ္စည်းများကို ကြည့်ရှုနိုင်သည့် HackerOne ရှိ လုံခြုံရေးလေ့လာဆန်းစစ်သူ၏အကောင့်သို့ ဝင်ရောက်ခွင့်ရရှိခဲ့သည်။ ပလက်ဖောင်းစတင်တည်ထောင်ချိန်မှစ၍ HackerOne သည် Twitter၊ Facebook၊ Google၊ Apple၊ Microsoft၊ Slack၊ Pentagon နှင့် US Navy အပါအဝင် client 23 ကျော်ထံမှ ထုတ်ကုန်များတွင် အားနည်းချက်များကို ရှာဖွေဖော်ထုတ်ရန် သုတေသီများအား စုစုပေါင်း $100 သန်း ပေးချေခဲ့သည်။
လူ့အမှားကြောင့် အကောင့်သိမ်းယူမှု ဖြစ်နိုင်ကြောင်း မှတ်သားစရာပါ။ သုတေသီတစ်ဦးသည် HackerOne တွင် ဖြစ်နိုင်ချေရှိသော အားနည်းချက်တစ်ခုအကြောင်း ပြန်လည်သုံးသပ်ရန်အတွက် လျှောက်လွှာတစ်စောင်တင်သွင်းခဲ့သည်။ အပလီကေးရှင်း၏ခွဲခြမ်းစိတ်ဖြာမှုအတွင်း၊ HackerOne မှ သုံးသပ်သူတစ်ဦးက အဆိုပြုထားသည့် ဟက်ကာနည်းလမ်းကို ထပ်ခါတလဲလဲကြိုးစားခဲ့သော်လည်း ပြဿနာကို ပြန်လည်ထုတ်လုပ်၍မရသည့်အပြင် အသေးစိတ်အချက်အလက်များတောင်းဆိုသည့် အပလီကေးရှင်းရေးသားသူထံ တုံ့ပြန်မှုတစ်ခုပေးပို့ခဲ့သည်။ တစ်ချိန်တည်းမှာပင်၊ မအောင်မြင်သော စစ်ဆေးမှုရလဒ်များနှင့်အတူ ၎င်း၏ session Cookie ၏ အကြောင်းအရာများကို အမှတ်မထင် ပေးပို့ခဲ့ကြောင်း လေ့လာသူမှ သတိမပြုမိပါ။ အထူးသဖြင့်၊ ဆွေးနွေးမှုအတွင်း၊ လေ့လာသူသည် session Cookie ၏အကြောင်းအရာများကိုရှင်းလင်းရန်မေ့သွားသည့် HTTP ခေါင်းစီးများအပါအဝင် curl utility မှပြုလုပ်သော HTTP တောင်းဆိုချက်ကို ဥပမာတစ်ခုပေးခဲ့သည်။
သုတေသီသည် ဤကြီးကြပ်ကွပ်ကဲမှုကို သတိပြုမိပြီး ဝန်ဆောင်မှုတွင် အသုံးပြုသည့် အချက်ပေါင်းများစွာ စစ်မှန်ကြောင်းအထောက်အထားပြခြင်းမှတစ်ဆင့် မှတ်သားစရာမလိုဘဲ အမှတ်အသားပြုထားသည့် Cookie တန်ဖိုးကို ထည့်သွင်းခြင်းဖြင့် hackerone.com တွင် အခွင့်ထူးခံအကောင့်တစ်ခုသို့ ဝင်ရောက်နိုင်ခဲ့သည်။ hackerone.com သည် အသုံးပြုသူ၏ IP သို့မဟုတ် ဘရောက်ဆာနှင့် ဆက်ရှင်ကို မချိတ်ထားသောကြောင့် တိုက်ခိုက်မှုဖြစ်နိုင်သည်။ ပေါက်ကြားမှုအစီရင်ခံစာကို ထုတ်ပြန်ပြီး နှစ်နာရီအကြာတွင် ပြဿနာရှိသော စက်ရှင် ID ကို ဖျက်လိုက်ပါသည်။ ပြဿနာအကြောင်း သတင်းပေးဖို့အတွက် သုတေသီကို ဒေါ်လာ ၂၀,ဝဝဝ ပေးဖို့ ဆုံးဖြတ်ခဲ့ပါတယ်။
HackerOne သည် ယခင်က အလားတူ Cookie ပေါက်ကြားမှုများ ဖြစ်နိုင်ချေကို ခွဲခြမ်းစိတ်ဖြာရန်နှင့် ဝန်ဆောင်မှုဖောက်သည်များ၏ ပြဿနာများနှင့်ပတ်သက်သော မူပိုင်အချက်အလက်များ၏ ပေါက်ကြားမှု ဖြစ်နိုင်ချေကို အကဲဖြတ်ရန် စာရင်းစစ်တစ်ခု စတင်ခဲ့သည်။ စာရင်းစစ်သည် ယခင်က ပေါက်ကြားမှုဆိုင်ရာ အထောက်အထားများကို မဖော်ပြဘဲ ပြဿနာကို သရုပ်ပြသော သုတေသီသည် session key ကို အသုံးပြုသော လေ့လာသူထံ လက်လှမ်းမီနိုင်သည့် ဝန်ဆောင်မှုတွင် တင်ပြထားသည့် ပရိုဂရမ်အားလုံး၏ 5% ခန့်၏ အချက်အလက်များကို ရယူနိုင်ကြောင်း ဆုံးဖြတ်ခဲ့သည်။
အနာဂတ်တွင် အလားတူတိုက်ခိုက်မှုများမှ ကာကွယ်ရန်အတွက်၊ session key သည် အောက်ပါတို့နှင့် သက်ဆိုင်သည်- IP လိပ်စာ နှင့် မှတ်ချက်များတွင် session key များနှင့် authentication token များကို filter လုပ်ခြင်း။ အနာဂတ်တွင် IP binding ကို user device များနှင့် binding ဖြင့် အစားထိုးရန် စီစဉ်ထားသည်၊ အဘယ်ကြောင့်ဆိုသော် dynamically assigned address များရှိသော user များအတွက် IP binding သည် အဆင်မပြေသောကြောင့်ဖြစ်သည်။ user data များသို့ ဝင်ရောက်ခွင့်အကြောင်း အချက်အလက်များဖြင့် logging စနစ်ကို တိုးချဲ့ရန်နှင့် analyst များအတွက် client data များသို့ granular access model တစ်ခုကို အကောင်အထည်ဖော်ရန်လည်း ဆုံးဖြတ်ခဲ့သည်။
source: opennet.ru
