Платформаи HackerOne, ки ба муҳаққиқони амният имкон медиҳад, ки таҳиягаронро дар бораи муайян кардани осебпазирӣ огоҳ созанд ва барои ин мукофот гиранд. дар бораи хакерии худ. Яке аз пажӯҳишгарон муяссар шуд, ки ба ҳисоби як таҳлилгари амният дар HackerOne дастрасӣ пайдо кунад, ки қобилияти дидани маводи махфӣ, аз ҷумла маълумот дар бораи осебпазириро, ки ҳанӯз ислоҳ нашудааст, дорад. Аз замони таъсиси платформа, HackerOne ба пажӯҳишгарон барои муайян кардани осебпазирии маҳсулоти беш аз 23 муштарӣ, аз ҷумла Twitter, Facebook, Google, Apple, Microsoft, Slack, Пентагон ва Нерӯҳои баҳрии ИМА дар маҷмӯъ 100 миллион доллар пардохт кардааст.
Қобили зикр аст, ки гирифтани ҳисоб бо сабаби хатои инсон имконпазир гардид. Яке аз муҳаққиқон барои баррасӣ дар бораи осебпазирии эҳтимолии HackerOne ариза пешниҳод кард. Ҳангоми таҳлили барнома, як таҳлилгари HackerOne кӯшиш кард, ки усули пешниҳодшудаи ҳакериро такрор кунад, аммо мушкилот дубора тавлид нашуд ва ба муаллифи барнома посухе ирсол шуд, ки тафсилоти иловагиро талаб мекунад. Дар баробари ин, таҳлилгар пай набурд, ки дар баробари натиҷаҳои санҷиши бемуваффақият, ӯ нохост мундариҷаи сессияи Cookie-ро фиристод. Аз ҷумла, дар ҷараёни муколама, таҳлилгар мисоли дархости HTTP-ро, ки аз ҷониби утилитаи curl, аз ҷумла сарлавҳаҳои HTTP дода шудааст, мисол овард, ки аз он тоза кардани мундариҷаи сессияи Cookie-ро фаромӯш кардааст.
Муҳаққиқ ин назоратро пай бурд ва тавонист ба ҳисоби имтиёзнок дар hackerone.com тавассути ворид кардани арзиши мушоҳидашудаи куки бидуни гузаштан аз аутентификатсияи бисёрсоҳавӣ, ки дар хидмат истифода мешавад, дастрасӣ пайдо кунад. Ҳамла ба он сабаб имконпазир буд, ки hackerone.com сессияро ба IP ё браузери корбар набастааст. ID-и сессияи мушкил ду соат пас аз нашри гузориши ихроҷ нест карда шуд. Қарор шуд, ки барои иттилоъ додани мушкилот ба пажӯҳишгар 20 ҳазор доллар пардохт шавад.
HackerOne барои таҳлили эҳтимолияти ихроҷи шабеҳи кукиҳо дар гузашта ва арзёбии ихроҷи эҳтимолии иттилооти хусусӣ дар бораи мушкилоти муштариёни хидматрасонӣ аудитро оғоз кард. Аудит далелҳои ихроҷро дар гузашта ошкор накард ва муайян кард, ки муҳаққиқе, ки ин мушкилотро нишон додааст, метавонад дар бораи тақрибан 5% ҳамаи барномаҳои дар хидмат пешниҳодшуда, ки ба таҳлилгаре, ки калиди сессияаш истифода шудааст, дастрас бошад, маълумот гирад.
Барои муҳофизат аз ҳамлаҳои шабеҳ дар оянда, мо пайваст кардани калиди сессияро ба суроғаи IP ва филтр кардани калидҳои сессия ва аломатҳои аутентификатсияро дар шарҳҳо амалӣ кардем. Дар оянда онҳо нақша доранд, ки пайвастшавӣ ба IP-ро бо пайвастшавӣ ба дастгоҳҳои корбар иваз кунанд, зеро пайвастшавӣ ба IP барои корбароне, ки суроғаҳои динамикӣ дода шудаанд, нороҳат аст. Инчунин тасмим гирифта шуд, ки системаи журнал бо маълумот дар бораи дастрасии корбарон ба маълумот васеъ карда шавад ва модели дастрасии гранулӣ барои таҳлилгарон ба маълумоти муштарӣ татбиқ карда шавад.
Манбаъ: opennet.ru