Xavfsizlik tadqiqotchilariga ishlab chiquvchilarga zaifliklarni aniqlash haqida xabar berish va buning uchun mukofot olish imkonini beruvchi HackerOne platformasi... o'zining xakerlik hujumi haqida. Tadqiqotchilardan biri HackerOne’dagi xavfsizlik bo‘yicha tahlilchining akkauntiga kirishga muvaffaq bo‘ldi, bu unga maxfiy materiallarni, jumladan, tuzatilmagan zaifliklar haqidagi ma’lumotlarni ko‘rish imkonini berdi. Platforma tashkil etilganidan beri tadqiqotchilarga Twitter, Facebook, Google, Apple, Microsoft, Slack, Pentagon va AQSh dengiz floti kabi 100 dan ortiq mijozlarning mahsulotlaridagi zaifliklarni aniqlaganliklari uchun HackerOne orqali jami 23 million dollar to‘langan.
Shuni ta'kidlash kerakki, akkauntni egallab olish inson xatosi tufayli mumkin bo'lgan. Tadqiqotchilardan biri HackerOne’ga ko'rib chiqish uchun potentsial zaiflik haqida hisobot taqdim etdi. HackerOne tahlilchisi ko'rib chiqish jarayonida taklif qilingan xakerlik usulini takrorlashga urindi, ammo muammo qayta tiklanmadi, bu esa so'rovchini qo'shimcha tafsilotlarni so'rashga undadi. Biroq, tahlilchi muvaffaqiyatsiz skanerlash natijalari bilan birga sessiya cookie-faylining mazmunini ham e'tiborsiz qoldirganini payqamadi. Xususan, suhbat davomida tahlilchi curl yordamchi dasturi yordamida bajarilgan HTTP so'rovining misolini keltirdi, jumladan, sessiya cookie-faylining mazmunini tozalashni unutgan HTTP sarlavhalari.
Tadqiqotchi bu kamchilikni payqadi va hackerone.com saytidagi imtiyozli akkauntga ko'p faktorli autentifikatsiyasiz shunchaki kuzatilgan cookie qiymatini kiritish orqali kirishga muvaffaq bo'ldi. Hujum hackerone.com sessiyalarni foydalanuvchining IP-manzili yoki brauzeriga bog'lamagani uchun mumkin bo'ldi. Xato qilgan sessiya identifikatori buzilish haqidagi hisobot e'lon qilinganidan ikki soat o'tgach olib tashlandi. Tadqiqotchi muammo haqida xabar bergani uchun 20 000 dollar mukofotlandi.
HackerOne shunga o'xshash cookie-fayllar oqishining o'tmishdagi mumkin bo'lgan holatlarini tahlil qilish va mijozlar bilan bog'liq muammolar haqidagi maxfiy ma'lumotlarning oqishini baholash uchun audit o'tkazdi. Audit avvalgi oqishlarni aniqlamadi va muammoni ko'rsatgan tadqiqotchi sessiya kaliti ishlatilgan tahlilchi kirish huquqiga ega bo'lgan xizmatda mavjud bo'lgan barcha dasturlarning taxminan 5% haqida ma'lumot olishi mumkinligini aniqladi.
Kelajakda shunga o'xshash hujumlardan himoya qilish uchun sessiya kaliti quyidagilarga bog'liq IP manzili va sharhlarda sessiya kalitlari va autentifikatsiya tokenlarini filtrlash. Kelajakda IP ulanishini foydalanuvchi qurilmalariga ulanish bilan almashtirish rejalashtirilgan, chunki IP ulanishi dinamik ravishda tayinlangan manzillarga ega foydalanuvchilar uchun noqulay. Shuningdek, jurnal tizimini foydalanuvchilarning ma'lumotlarga kirishi haqidagi ma'lumotlar bilan kengaytirish va tahlilchilar uchun mijoz ma'lumotlariga batafsil kirish modelini joriy etishga qaror qilindi.
Manba: opennet.ru
