โปรโฮสต์ > บล็อก > ข่าวทางอินเทอร์เน็ต > โจมตี HackerOne ช่วยให้สามารถเข้าถึงรายงานช่องโหว่ส่วนตัว

โจมตี HackerOne ช่วยให้สามารถเข้าถึงรายงานช่องโหว่ส่วนตัว

แพลตฟอร์ม HackerOne ซึ่งช่วยให้นักวิจัยด้านความปลอดภัยสามารถแจ้งให้นักพัฒนาทราบเกี่ยวกับการระบุช่องโหว่และรับรางวัลสำหรับสิ่งนี้ได้รับ อื่น ๆ เกี่ยวกับการแฮ็กของคุณเอง หนึ่งในนักวิจัยสามารถเข้าถึงบัญชีของนักวิเคราะห์ความปลอดภัยที่ HackerOne ซึ่งมีความสามารถในการดูเนื้อหาลับ รวมถึงข้อมูลเกี่ยวกับช่องโหว่ที่ยังไม่ได้รับการแก้ไข นับตั้งแต่ก่อตั้งแพลตฟอร์ม HackerOne ได้จ่ายเงินให้นักวิจัยทั้งหมด 23 ล้านดอลลาร์เพื่อระบุช่องโหว่ในผลิตภัณฑ์จากลูกค้ามากกว่า 100 ราย รวมถึง Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon และกองทัพเรือสหรัฐฯ

เป็นที่น่าสังเกตว่าการครอบครองบัญชีเกิดขึ้นได้เนื่องจากข้อผิดพลาดของมนุษย์ หนึ่งในนักวิจัยได้ส่งใบสมัครเพื่อตรวจสอบช่องโหว่ที่อาจเกิดขึ้นใน HackerOne ในระหว่างการวิเคราะห์แอปพลิเคชัน นักวิเคราะห์ของ HackerOne พยายามทำซ้ำวิธีการแฮ็กที่เสนอ แต่ปัญหาไม่สามารถเกิดขึ้นได้ และได้ส่งคำตอบไปยังผู้เขียนแอปพลิเคชันเพื่อขอรายละเอียดเพิ่มเติม ในเวลาเดียวกัน นักวิเคราะห์ไม่ได้สังเกตว่า นอกจากผลการตรวจสอบที่ไม่สำเร็จแล้ว เขายังส่งเนื้อหาของเซสชันคุกกี้ของเขาโดยไม่ได้ตั้งใจ โดยเฉพาะอย่างยิ่งในระหว่างการสนทนา นักวิเคราะห์ได้ยกตัวอย่างคำขอ HTTP ที่สร้างโดยยูทิลิตี้ curl รวมถึงส่วนหัว HTTP ซึ่งเขาลืมล้างเนื้อหาของเซสชันคุกกี้

นักวิจัยสังเกตเห็นการควบคุมดูแลนี้ และสามารถเข้าถึงบัญชีพิเศษบน hackerone.com ได้โดยเพียงแค่ใส่ค่าคุกกี้ที่สังเกตเห็น โดยไม่ต้องผ่านการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ใช้ในบริการ การโจมตีเกิดขึ้นได้เนื่องจาก hackerone.com ไม่ได้ผูกเซสชันกับ IP หรือเบราว์เซอร์ของผู้ใช้ รหัสเซสชันที่มีปัญหาถูกลบไปสองชั่วโมงหลังจากเผยแพร่รายงานการรั่วไหล มีการตัดสินใจที่จะจ่ายเงินให้นักวิจัย 20 ดอลลาร์เพื่อแจ้งปัญหา

HackerOne เริ่มการตรวจสอบเพื่อวิเคราะห์ความเป็นไปได้ของการรั่วไหลของคุกกี้ที่คล้ายกันในอดีต และเพื่อประเมินการรั่วไหลของข้อมูลที่เป็นกรรมสิทธิ์เกี่ยวกับปัญหาของลูกค้าบริการ การตรวจสอบไม่ได้เปิดเผยหลักฐานการรั่วไหลในอดีต และระบุว่านักวิจัยที่แสดงให้เห็นถึงปัญหาสามารถรับข้อมูลประมาณ 5% ของโปรแกรมทั้งหมดที่นำเสนอในบริการที่นักวิเคราะห์ซึ่งใช้คีย์เซสชันสามารถเข้าถึงได้

เพื่อป้องกันการโจมตีที่คล้ายกันในอนาคต เราได้ปรับใช้การเชื่อมโยงคีย์เซสชันกับที่อยู่ IP และการกรองคีย์เซสชันและโทเค็นการรับรองความถูกต้องในความคิดเห็น ในอนาคต พวกเขาวางแผนที่จะแทนที่การเชื่อมโยงกับ IP ด้วยการเชื่อมโยงกับอุปกรณ์ของผู้ใช้ เนื่องจากการผูกกับ IP นั้นไม่สะดวกสำหรับผู้ใช้ที่มีที่อยู่ที่ออกแบบไดนามิก นอกจากนี้ยังมีการตัดสินใจที่จะขยายระบบบันทึกด้วยข้อมูลเกี่ยวกับการเข้าถึงข้อมูลของผู้ใช้ และใช้โมเดลการเข้าถึงแบบละเอียดสำหรับนักวิเคราะห์ในข้อมูลลูกค้า

ที่มา: opennet.ru