ProHoster > බ්ලොග් > අන්තර්ජාල පුවත් > පුද්ගලික අවදානම් වාර්තා වෙත ප්‍රවේශ වීමට ඉඩ දෙමින් HackerOne වෙත ප්‍රහාරයක්

පුද්ගලික අවදානම් වාර්තා වෙත ප්‍රවේශ වීමට ඉඩ දෙමින් HackerOne වෙත ප්‍රහාරයක්

ආරක්ෂිත පර්යේෂකයන්ට අවදානම් හඳුනා ගැනීම පිළිබඳව සංවර්ධකයින්ට දැනුම් දීමට සහ ඒ සඳහා ත්‍යාග ලබා ගැනීමට ඉඩ සලසන HackerOne වේදිකාව ලැබුණි. වාර්තාව ඔබේම හැක් කිරීම ගැන. පර්යේෂකයන්ගෙන් එක් අයෙක් HackerOne හි ආරක්ෂක විශ්ලේෂකයෙකුගේ ගිණුමට ප්‍රවේශය ලබා ගැනීමට සමත් විය, ඔහුට තවමත් නිරාකරණය කර නොමැති දුර්වලතා පිළිබඳ තොරතුරු ඇතුළුව වර්ගීකරණය කරන ලද ද්‍රව්‍ය බැලීමට හැකියාව ඇත. වේදිකාවේ ආරම්භයේ සිටම, Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon සහ US නාවික හමුදාව ඇතුළු 23කට වැඩි සේවාලාභීන්ගේ නිෂ්පාදනවල දුර්වලතා හඳුනාගැනීම සඳහා HackerOne විසින් පර්යේෂකයන්ට ඩොලර් මිලියන 100ක් ගෙවා ඇත.

මානව දෝෂයක් හේතුවෙන් ගිණුම පවරා ගැනීමට හැකි වූ බව සැලකිය යුතු කරුණකි. එක් පර්යේෂකයෙක් HackerOne හි ඇති විය හැකි අවදානමක් ගැන සමාලෝචනය සඳහා අයදුම්පතක් ඉදිරිපත් කළේය. යෙදුම විශ්ලේෂණය කිරීමේදී, HackerOne විශ්ලේෂකයෙකු යෝජිත අනවසරයෙන් ඇතුළුවීමේ ක්‍රමය නැවත කිරීමට උත්සාහ කළ නමුත් ගැටළුව ප්‍රතිනිෂ්පාදනය කළ නොහැකි වූ අතර අමතර විස්තර ඉල්ලා යෙදුමේ කතුවරයාට ප්‍රතිචාරයක් යවන ලදී. ඒ අතරම, අසාර්ථක චෙක්පතක ප්‍රති results ල සමඟ, ඔහු නොදැනුවත්වම ඔහුගේ සැසියේ කුකී හි අන්තර්ගතය එවූ බව විශ්ලේෂකයා දුටුවේ නැත. විශේෂයෙන්ම, සංවාදය අතරතුර, විශ්ලේෂක විසින් කුකී සැසියේ අන්තර්ගතය ඉවත් කිරීමට අමතක වූ HTTP ශීර්ෂයන් ඇතුළුව curl උපයෝගීතාව විසින් කරන ලද HTTP ඉල්ලීමකට උදාහරණයක් ලබා දුන්නේය.

පර්යේෂකයා මෙම අධීක්‍ෂණය දුටු අතර සේවාවේ භාවිතා කරන බහු-සාධක සත්‍යාපනය හරහා නොගොස් අවධානයට ලක් වූ කුකී අගය ඇතුළත් කිරීමෙන් hackerone.com හි වරප්‍රසාද ලත් ගිණුමකට ප්‍රවේශය ලබා ගැනීමට හැකි විය. hackerone.com විසින් සැසිය පරිශීලකයාගේ IP හෝ බ්‍රවුසරයට සම්බන්ධ නොකළ නිසා ප්‍රහාරය සිදු විය. කාන්දුවීමේ වාර්තාව ප්‍රකාශයට පත් කිරීමෙන් පැය දෙකකට පසුව ගැටළු සහගත සැසි හැඳුනුම්පත මකා දමන ලදී. ගැටලුව පිළිබඳව දැනුම් දීම සඳහා පර්යේෂකයාට ඩොලර් 20 දහසක් ගෙවීමට තීරණය විය.

HackerOne විසින් අතීතයේ දී සමාන කුකී කාන්දුවීම් සිදුවිය හැකි සිදුවීම් විශ්ලේෂණය කිරීමට සහ සේවා පාරිභෝගිකයින්ගේ ගැටළු පිළිබඳ හිමිකාර තොරතුරු කාන්දුවීම් තක්සේරු කිරීමට විගණනයක් ආරම්භ කරන ලදී. විගණනය අතීතයේ සිදු වූ කාන්දුවීම් පිළිබඳ සාක්ෂි හෙළි නොකළ අතර, ගැටලුව පෙන්නුම් කළ පර්යේෂකයාට සැසි යතුර භාවිතා කළ විශ්ලේෂකයාට ප්‍රවේශ විය හැකි සේවාවේ ඉදිරිපත් කර ඇති සියලුම වැඩසටහන් වලින් 5% ක් පමණ තොරතුරු ලබා ගත හැකි බව තීරණය කළේය.

අනාගතයේදී එවැනි ප්‍රහාරවලින් ආරක්ෂා වීමට, අපි සැසි යතුර IP ලිපිනයට බැඳීම සහ අදහස් දැක්වීමේදී සැසි යතුරු සහ සත්‍යාපන ටෝකන පෙරීම ක්‍රියාත්මක කළෙමු. අනාගතයේදී, ගතිකව නිකුත් කරන ලද ලිපින ඇති පරිශීලකයින්ට IP වෙත බැඳීම අපහසු වන බැවින්, IP වෙත බැඳීම වෙනුවට පරිශීලක උපාංග වෙත බන්ධනය කිරීමට ඔවුන් සැලසුම් කරයි. දත්ත සඳහා පරිශීලක ප්‍රවේශය පිළිබඳ තොරතුරු සහිත ලොග් පද්ධතිය පුළුල් කිරීමට සහ පාරිභෝගික දත්ත සඳහා විශ්ලේෂකයින් සඳහා කැටිති ප්‍රවේශ ආකෘතියක් ක්‍රියාත්මක කිරීමට ද තීරණය විය.

මූලාශ්රය: opennet.ru