Xavfsizlik bo'yicha tadqiqotchilarga ishlab chiquvchilarni zaifliklarni aniqlash haqida xabardor qilish va buning uchun mukofot olish imkonini beruvchi HackerOne platformasi qabul qilindi. o'z xakerligingiz haqida. Tadqiqotchilardan biri HackerOne’dagi xavfsizlik bo‘yicha tahlilchi akkauntiga kirishga muvaffaq bo‘ldi, u maxfiy materiallarni, jumladan, hali tuzatilmagan zaifliklar haqidagi ma’lumotlarni ko‘rish imkoniyatiga ega. Platforma yaratilganidan beri HackerOne tadqiqotchilarga Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon va AQSh dengiz kuchlari kabi 23 dan ortiq mijozlar mahsulotlaridagi zaifliklarni aniqlash uchun jami 100 million dollar to‘ladi.
Shunisi e'tiborga loyiqki, hisobni egallab olish inson xatosi tufayli mumkin bo'ldi. Tadqiqotchilardan biri HackerOne’dagi ehtimoliy zaiflik haqida ko‘rib chiqish uchun ariza topshirdi. Ilovani tahlil qilish jarayonida HackerOne tahlilchisi taklif qilingan xakerlik usulini takrorlashga urindi, biroq muammoni qayta ishlab bo‘lmadi va ilova muallifiga qo‘shimcha tafsilotlarni so‘rab javob yuborildi. Shu bilan birga, tahlilchi muvaffaqiyatsiz tekshiruv natijalari bilan bir qatorda, u beixtiyor o'z sessiyasi tarkibini Cookie-ga yuborganini payqamadi. Xususan, suhbat davomida tahlilchi Curl yordam dasturi tomonidan amalga oshirilgan HTTP so'roviga misol keltirdi, jumladan HTTP sarlavhalari, undan Cookie sessiyasi mazmunini tozalashni unutgan.
Tadqiqotchi bu nazoratni payqab qoldi va xizmatda qo‘llaniladigan ko‘p faktorli autentifikatsiyadan o‘tmasdan, shunchaki e’tiborga olingan Cookie qiymatini kiritish orqali hackerone.com saytidagi imtiyozli akkauntga kirishga muvaffaq bo‘ldi. Hujum hackerone.com sayti seansni foydalanuvchining IP yoki brauzeriga bog‘lamagani uchun mumkin bo‘lgan. Muammoli seans identifikatori sizib chiqish hisoboti chop etilgandan ikki soat o'tgach o'chirildi. Muammo haqida ma'lumot bergani uchun tadqiqotchiga 20 ming dollar to'lashga qaror qilindi.
HackerOne o'tmishda shunga o'xshash cookie fayllari sizib chiqishi ehtimolini tahlil qilish va xizmat ko'rsatuvchi mijozlar muammolari haqida mulkiy ma'lumotlarning potentsial chiqib ketishini baholash uchun auditni boshladi. Audit o'tmishda sizib chiqish dalillarini aniqlamadi va muammoni ko'rsatgan tadqiqotchi seans kalitidan foydalanilgan tahlilchi foydalanishi mumkin bo'lgan xizmatda taqdim etilgan barcha dasturlarning taxminan 5 foizi haqida ma'lumot olishi mumkinligini aniqladi.
Kelajakda shunga o'xshash hujumlardan himoya qilish uchun biz sessiya kalitini IP-manzilga bog'lashni va sharhlarda seans kalitlari va autentifikatsiya tokenlarini filtrlashni amalga oshirdik. Kelajakda ular IP-ga ulanishni foydalanuvchi qurilmalariga ulanish bilan almashtirishni rejalashtirmoqdalar, chunki IP-ga ulanish dinamik ravishda berilgan manzillarga ega foydalanuvchilar uchun noqulay. Shuningdek, foydalanuvchining ma'lumotlarga kirishi haqidagi ma'lumotlar bilan jurnal tizimini kengaytirish va tahlilchilar uchun mijozlar ma'lumotlariga donador kirish modelini joriy etish to'g'risida qaror qabul qilindi.
Manba: opennet.ru