แพลตฟอร์ม HackerOne ซึ่งช่วยให้นักวิจัยด้านความปลอดภัยสามารถแจ้งให้นักพัฒนาทราบเกี่ยวกับการระบุช่องโหว่และรับรางวัลสำหรับสิ่งนี้ได้รับ
เป็นที่น่าสังเกตว่าการครอบครองบัญชีเกิดขึ้นได้เนื่องจากข้อผิดพลาดของมนุษย์ หนึ่งในนักวิจัยได้ส่งใบสมัครเพื่อตรวจสอบช่องโหว่ที่อาจเกิดขึ้นใน HackerOne ในระหว่างการวิเคราะห์แอปพลิเคชัน นักวิเคราะห์ของ HackerOne พยายามทำซ้ำวิธีการแฮ็กที่เสนอ แต่ปัญหาไม่สามารถเกิดขึ้นได้ และได้ส่งคำตอบไปยังผู้เขียนแอปพลิเคชันเพื่อขอรายละเอียดเพิ่มเติม ในเวลาเดียวกัน นักวิเคราะห์ไม่ได้สังเกตว่า นอกจากผลการตรวจสอบที่ไม่สำเร็จแล้ว เขายังส่งเนื้อหาของเซสชันคุกกี้ของเขาโดยไม่ได้ตั้งใจ โดยเฉพาะอย่างยิ่งในระหว่างการสนทนา นักวิเคราะห์ได้ยกตัวอย่างคำขอ HTTP ที่สร้างโดยยูทิลิตี้ curl รวมถึงส่วนหัว HTTP ซึ่งเขาลืมล้างเนื้อหาของเซสชันคุกกี้
นักวิจัยสังเกตเห็นการควบคุมดูแลนี้ และสามารถเข้าถึงบัญชีพิเศษบน hackerone.com ได้โดยเพียงแค่ใส่ค่าคุกกี้ที่สังเกตเห็น โดยไม่ต้องผ่านการตรวจสอบสิทธิ์แบบหลายปัจจัยที่ใช้ในบริการ การโจมตีเกิดขึ้นได้เนื่องจาก hackerone.com ไม่ได้ผูกเซสชันกับ IP หรือเบราว์เซอร์ของผู้ใช้ รหัสเซสชันที่มีปัญหาถูกลบไปสองชั่วโมงหลังจากเผยแพร่รายงานการรั่วไหล มีการตัดสินใจที่จะจ่ายเงินให้นักวิจัย 20 ดอลลาร์เพื่อแจ้งปัญหา
HackerOne เริ่มการตรวจสอบเพื่อวิเคราะห์ความเป็นไปได้ของการรั่วไหลของคุกกี้ที่คล้ายกันในอดีต และเพื่อประเมินการรั่วไหลของข้อมูลที่เป็นกรรมสิทธิ์เกี่ยวกับปัญหาของลูกค้าบริการ การตรวจสอบไม่ได้เปิดเผยหลักฐานการรั่วไหลในอดีต และระบุว่านักวิจัยที่แสดงให้เห็นถึงปัญหาสามารถรับข้อมูลประมาณ 5% ของโปรแกรมทั้งหมดที่นำเสนอในบริการที่นักวิเคราะห์ซึ่งใช้คีย์เซสชันสามารถเข้าถึงได้
เพื่อป้องกันการโจมตีที่คล้ายกันในอนาคต เราได้ปรับใช้การเชื่อมโยงคีย์เซสชันกับที่อยู่ IP และการกรองคีย์เซสชันและโทเค็นการรับรองความถูกต้องในความคิดเห็น ในอนาคต พวกเขาวางแผนที่จะแทนที่การเชื่อมโยงกับ IP ด้วยการเชื่อมโยงกับอุปกรณ์ของผู้ใช้ เนื่องจากการผูกกับ IP นั้นไม่สะดวกสำหรับผู้ใช้ที่มีที่อยู่ที่ออกแบบไดนามิก นอกจากนี้ยังมีการตัดสินใจที่จะขยายระบบบันทึกด้วยข้อมูลเกี่ยวกับการเข้าถึงข้อมูลของผู้ใช้ และใช้โมเดลการเข้าถึงแบบละเอียดสำหรับนักวิเคราะห์ในข้อมูลลูกค้า
ที่มา: opennet.ru