హ్యాకర్వన్ ప్లాట్ఫారమ్, భద్రతా పరిశోధకులను దుర్బలత్వాలను గుర్తించడం గురించి డెవలపర్లకు తెలియజేయడానికి మరియు దీని కోసం రివార్డ్లను స్వీకరించడానికి అనుమతిస్తుంది.
మానవ తప్పిదాల వల్లే ఖాతా టేకోవర్ సాధ్యమవడం గమనార్హం. పరిశోధకులలో ఒకరు HackerOneలో సంభావ్య దుర్బలత్వం గురించి సమీక్ష కోసం దరఖాస్తును సమర్పించారు. అప్లికేషన్ యొక్క విశ్లేషణ సమయంలో, HackerOne విశ్లేషకుడు ప్రతిపాదిత హ్యాకింగ్ పద్ధతిని పునరావృతం చేయడానికి ప్రయత్నించారు, కానీ సమస్యను పునరుత్పత్తి చేయడం సాధ్యపడలేదు మరియు అదనపు వివరాలను అభ్యర్థిస్తూ అప్లికేషన్ యొక్క రచయితకు ప్రతిస్పందన పంపబడింది. అదే సమయంలో, విఫలమైన చెక్ ఫలితాలతో పాటు, అతను అనుకోకుండా తన సెషన్ కుకీలోని విషయాలను పంపినట్లు విశ్లేషకుడు గమనించలేదు. ప్రత్యేకించి, డైలాగ్ సమయంలో, విశ్లేషకుడు HTTP హెడర్లతో సహా కర్ల్ యుటిలిటీ చేసిన HTTP అభ్యర్థనకు ఉదాహరణను ఇచ్చాడు, దాని నుండి అతను సెషన్ కుకీ యొక్క కంటెంట్లను క్లియర్ చేయడం మర్చిపోయాడు.
పరిశోధకుడు ఈ పర్యవేక్షణను గమనించారు మరియు సేవలో ఉపయోగించిన బహుళ-కారకాల ప్రమాణీకరణ ద్వారా వెళ్లకుండానే గుర్తించబడిన కుక్కీ విలువను చొప్పించడం ద్వారా hackerone.comలో ప్రత్యేక ఖాతాకు ప్రాప్యతను పొందగలిగారు. hackerone.com సెషన్ను యూజర్ యొక్క IP లేదా బ్రౌజర్కి బంధించనందున దాడి సాధ్యమైంది. లీక్ నివేదిక ప్రచురించబడిన రెండు గంటల తర్వాత సమస్యాత్మక సెషన్ ID తొలగించబడింది. సమస్య గురించి తెలియజేసినందుకు పరిశోధకుడికి 20 వేల డాలర్లు చెల్లించాలని నిర్ణయించారు.
HackerOne గతంలో ఇలాంటి కుకీ లీక్ల యొక్క సంభావ్య సంఘటనను విశ్లేషించడానికి మరియు సేవా వినియోగదారుల సమస్యల గురించి యాజమాన్య సమాచారం యొక్క సంభావ్య లీక్లను అంచనా వేయడానికి ఒక ఆడిట్ను ప్రారంభించింది. ఆడిట్ గతంలో లీక్ల యొక్క సాక్ష్యాలను బహిర్గతం చేయలేదు మరియు సమస్యను ప్రదర్శించిన పరిశోధకుడు సేవలో అందించిన అన్ని ప్రోగ్రామ్లలో సుమారు 5% గురించి సమాచారాన్ని పొందగలరని నిర్ధారించారు, ఇది సెషన్ కీని ఉపయోగించిన విశ్లేషకుడికి అందుబాటులో ఉంటుంది.
భవిష్యత్తులో ఇలాంటి దాడుల నుండి రక్షించడానికి, మేము సెషన్ కీని IP చిరునామాకు బైండింగ్ చేయడం మరియు సెషన్ కీలను ఫిల్టర్ చేయడం మరియు వ్యాఖ్యలలో ప్రామాణీకరణ టోకెన్లను అమలు చేసాము. భవిష్యత్తులో, వారు IPకి బైండింగ్ని వినియోగదారు పరికరాలకు బైండింగ్తో భర్తీ చేయాలని ప్లాన్ చేస్తున్నారు, ఎందుకంటే IPకి బైండింగ్ చేయడం డైనమిక్గా జారీ చేయబడిన చిరునామాలతో వినియోగదారులకు అసౌకర్యంగా ఉంటుంది. డేటాకు యూజర్ యాక్సెస్ గురించి సమాచారంతో లాగ్ సిస్టమ్ను విస్తరించాలని మరియు కస్టమర్ డేటాకు విశ్లేషకుల కోసం గ్రాన్యులర్ యాక్సెస్ మోడల్ను అమలు చేయాలని కూడా నిర్ణయించారు.
మూలం: opennet.ru