HackerOne پلیٹ فارم، جو سیکیورٹی محققین کو ڈویلپرز کو کمزوریوں کی نشاندہی کرنے اور اس کے لیے انعامات حاصل کرنے کی اجازت دیتا ہے، موصول ہوا آپ کی اپنی ہیکنگ کے بارے میں۔ محققین میں سے ایک HackerOne کے ایک سیکورٹی تجزیہ کار کے اکاؤنٹ تک رسائی حاصل کرنے میں کامیاب ہو گیا، جو درجہ بند مواد کو دیکھنے کی صلاحیت رکھتا ہے، بشمول کمزوریوں کے بارے میں معلومات جو ابھی تک طے نہیں کی گئی ہیں۔ پلیٹ فارم کے آغاز کے بعد سے، ہیکرون نے محققین کو 23 سے زائد کلائنٹس، بشمول Twitter، Facebook، Google، Apple، Microsoft، Slack، The Pentagon، اور امریکی بحریہ کی مصنوعات میں خطرات کی نشاندہی کرنے کے لیے مجموعی طور پر $100 ملین ادا کیے ہیں۔
یہ بات قابل ذکر ہے کہ اکاؤنٹ ٹیک اوور انسانی غلطی کی وجہ سے ممکن ہوا۔ محققین میں سے ایک نے HackerOne میں ممکنہ خطرے کے بارے میں جائزہ لینے کے لیے درخواست جمع کرائی۔ ایپلیکیشن کے تجزیے کے دوران، ایک HackerOne تجزیہ کار نے ہیکنگ کے مجوزہ طریقہ کو دہرانے کی کوشش کی، لیکن مسئلہ دوبارہ پیش نہیں کیا جا سکا، اور درخواست کے مصنف کو جواب بھیجا گیا جس میں اضافی تفصیلات کی درخواست کی گئی۔ ایک ہی وقت میں، تجزیہ کار نے یہ نہیں دیکھا کہ، ناکام چیک کے نتائج کے ساتھ، اس نے نادانستہ طور پر اپنے سیشن کوکی کا مواد بھیجا تھا۔ خاص طور پر، مکالمے کے دوران، تجزیہ کار نے کرل یوٹیلیٹی کی طرف سے کی گئی HTTP درخواست کی مثال دی، بشمول HTTP ہیڈر، جس سے وہ سیشن کوکی کے مواد کو صاف کرنا بھول گیا۔
محقق نے اس نگرانی کو دیکھا اور سروس میں استعمال ہونے والے کثیر عنصر کی توثیق سے گزرے بغیر صرف نوٹس کی گئی کوکی ویلیو کو داخل کرکے hackerone.com پر مراعات یافتہ اکاؤنٹ تک رسائی حاصل کرنے میں کامیاب رہا۔ حملہ اس لیے ممکن ہوا کیونکہ hackerone.com نے سیشن کو صارف کے IP یا براؤزر سے منسلک نہیں کیا۔ لیک رپورٹ شائع ہونے کے دو گھنٹے بعد مسئلہ سیشن ID کو حذف کر دیا گیا تھا۔ مسئلہ کے بارے میں آگاہ کرنے پر محقق کو 20 ہزار ڈالر ادا کرنے کا فیصلہ کیا گیا۔
HackerOne نے ماضی میں اسی طرح کے کوکی لیکس کے ممکنہ وقوعہ کا تجزیہ کرنے اور سروس صارفین کے مسائل کے بارے میں ملکیتی معلومات کے ممکنہ لیکس کا جائزہ لینے کے لیے ایک آڈٹ شروع کیا۔ آڈٹ نے ماضی میں لیک ہونے کے شواہد کو ظاہر نہیں کیا اور یہ طے کیا کہ جس محقق نے مسئلہ کا مظاہرہ کیا وہ سروس میں پیش کردہ تمام پروگراموں میں سے تقریباً 5% کے بارے میں معلومات حاصل کر سکتا ہے جو تجزیہ کار کے لیے قابل رسائی تھے جن کی سیشن کلید استعمال کی گئی تھی۔
مستقبل میں اسی طرح کے حملوں سے بچانے کے لیے، ہم نے سیشن کلید کو IP ایڈریس کے ساتھ بائنڈنگ اور سیشن کیز کی فلٹرنگ اور تبصروں میں تصدیقی ٹوکن لاگو کیا۔ مستقبل میں، وہ IP پر بائنڈنگ کو صارف کے آلات کے ساتھ بائنڈنگ سے تبدیل کرنے کا ارادہ رکھتے ہیں، کیونکہ متحرک طور پر جاری کردہ ایڈریس والے صارفین کے لیے IP کا پابند ہونا تکلیف دہ ہے۔ ڈیٹا تک صارف کی رسائی کے بارے میں معلومات کے ساتھ لاگ سسٹم کو وسعت دینے اور تجزیہ کاروں کے لیے کسٹمر ڈیٹا تک دانے دار رسائی کے ماڈل کو نافذ کرنے کا بھی فیصلہ کیا گیا۔
ماخذ: opennet.ru