பாதிப்புகளைக் கண்டறிந்து அதற்கான வெகுமதிகளைப் பெறுவது குறித்து டெவலப்பர்களுக்குத் தெரிவிக்க பாதுகாப்பு ஆராய்ச்சியாளர்களை அனுமதிக்கும் ஹேக்கர்ஒன் இயங்குதளம், பெறப்பட்டது உங்கள் சொந்த ஹேக்கிங் பற்றி. ஆராய்ச்சியாளர்களில் ஒருவர் HackerOne இல் உள்ள பாதுகாப்பு ஆய்வாளரின் கணக்கிற்கான அணுகலைப் பெற முடிந்தது, அவர் இன்னும் சரி செய்யப்படாத பாதிப்புகள் பற்றிய தகவல்கள் உட்பட வகைப்படுத்தப்பட்ட பொருட்களைப் பார்க்கும் திறனைக் கொண்டுள்ளார். இயங்குதளத்தின் தொடக்கத்தில் இருந்து, ட்விட்டர், பேஸ்புக், கூகுள், ஆப்பிள், மைக்ரோசாப்ட், ஸ்லாக், பென்டகன் மற்றும் அமெரிக்க கடற்படை உள்ளிட்ட 23க்கும் மேற்பட்ட வாடிக்கையாளர்களின் தயாரிப்புகளில் உள்ள பாதிப்புகளைக் கண்டறிய ஹாக்கர்ஒன் ஆராய்ச்சியாளர்களுக்கு மொத்தம் $100 மில்லியன் செலுத்தியுள்ளது.
மனிதப் பிழையின் காரணமாக கணக்கை கையகப்படுத்துவது சாத்தியமானது என்பது குறிப்பிடத்தக்கது. ஆராய்ச்சியாளர்களில் ஒருவர் HackerOne இல் சாத்தியமான பாதிப்பு பற்றி மதிப்பாய்வு செய்ய விண்ணப்பத்தை சமர்ப்பித்துள்ளார். பயன்பாட்டின் பகுப்பாய்வின் போது, ஒரு HackerOne ஆய்வாளர் முன்மொழியப்பட்ட ஹேக்கிங் முறையை மீண்டும் செய்ய முயன்றார், ஆனால் சிக்கலை மீண்டும் உருவாக்க முடியவில்லை, மேலும் கூடுதல் விவரங்களைக் கோரி விண்ணப்பத்தின் ஆசிரியருக்கு பதில் அனுப்பப்பட்டது. அதே நேரத்தில், தோல்வியுற்ற காசோலையின் முடிவுகளுடன், அவர் தனது அமர்வின் குக்கீயின் உள்ளடக்கங்களை கவனக்குறைவாக அனுப்பியதை ஆய்வாளர் கவனிக்கவில்லை. குறிப்பாக, உரையாடலின் போது, குக்கீ அமர்வின் உள்ளடக்கங்களை அழிக்க மறந்துவிட்ட HTTP தலைப்புகள் உட்பட கர்ல் பயன்பாட்டால் செய்யப்பட்ட HTTP கோரிக்கையின் உதாரணத்தை ஆய்வாளர் வழங்கினார்.
ஆராய்ச்சியாளர் இந்த மேற்பார்வையை கவனித்தார் மற்றும் சேவையில் பயன்படுத்தப்படும் பல காரணி அங்கீகாரம் இல்லாமல் கவனிக்கப்பட்ட குக்கீ மதிப்பைச் செருகுவதன் மூலம் hackerone.com இல் சலுகை பெற்ற கணக்கிற்கான அணுகலைப் பெற முடிந்தது. hackerone.com ஆனது பயனரின் IP அல்லது உலாவியுடன் அமர்வை இணைக்காததால் தாக்குதல் சாத்தியமானது. கசிவு அறிக்கை வெளியிடப்பட்ட இரண்டு மணி நேரத்திற்குப் பிறகு சிக்கல் அமர்வு ஐடி நீக்கப்பட்டது. சிக்கலைப் பற்றி தெரிவிக்க ஆராய்ச்சியாளருக்கு 20 ஆயிரம் டாலர்கள் வழங்க முடிவு செய்யப்பட்டது.
HackerOne கடந்த காலத்தில் இதே போன்ற குக்கீ கசிவுகளின் சாத்தியமான நிகழ்வுகளை பகுப்பாய்வு செய்வதற்கும் சேவை வாடிக்கையாளர்களின் பிரச்சனைகள் பற்றிய தனியுரிம தகவல்களின் சாத்தியமான கசிவுகளை மதிப்பிடுவதற்கும் ஒரு தணிக்கையைத் தொடங்கியது. தணிக்கையானது கடந்த காலத்தில் கசிவுகள் பற்றிய ஆதாரங்களை வெளிப்படுத்தவில்லை மற்றும் சிக்கலை வெளிப்படுத்திய ஆராய்ச்சியாளர், சேவையில் வழங்கப்பட்ட அனைத்து நிரல்களிலும் தோராயமாக 5% பற்றிய தகவலைப் பெற முடியும் என்று தீர்மானித்தது.
எதிர்காலத்தில் இதுபோன்ற தாக்குதல்களில் இருந்து பாதுகாக்க, அமர்வு விசையை ஐபி முகவரியுடன் பிணைத்தல் மற்றும் அமர்வு விசைகள் மற்றும் அங்கீகார டோக்கன்களை வடிகட்டுதல் ஆகியவற்றை கருத்துகளில் செயல்படுத்தினோம். எதிர்காலத்தில், IP உடன் பிணைப்பதை பயனர் சாதனங்களுடன் பிணைப்பதன் மூலம் மாற்ற திட்டமிட்டுள்ளனர், ஏனெனில் IP உடன் பிணைப்பது மாறும் முகவரிகளைக் கொண்ட பயனர்களுக்கு சிரமமாக உள்ளது. தரவுக்கான பயனர் அணுகல் பற்றிய தகவலுடன் பதிவு அமைப்பை விரிவுபடுத்தவும், வாடிக்கையாளர் தரவுக்கான ஆய்வாளர்களுக்கான சிறுமணி அணுகல் மாதிரியை செயல்படுத்தவும் முடிவு செய்யப்பட்டது.
ஆதாரம்: opennet.ru