Уязвимости на Coursera API, разкрити от изследователите

Набор от уязвимости на API в платформата Coursera е разкрит от изследователите.

В четвъртък изследователят по сигурността на Checkmarx Пауло Силва разкри откриването на множество провали в сигурността в Coursera онлайн платформа за обучение, която обслужва милиони учащи, както у дома, така и в предприятието.

Компанията си сътрудничи с над 200 университета и компании, включително Университета Станфорд, Университета Дюк, AWS, Google, Cisco и IBM. Предлаганите курсове варират от степени в областта на STEM до по-кратки класове по здравеопазване, хуманитарни науки и езици.

Силва казва, че Checkmarx е решил да проучи позицията на Coursera за сигурност поради повишената популярност на дистанционно обучение и обучение при поискване, предизвикано от пандемията COVID-19, в съответствие с Програма за разкриване на уязвимости, стартирала през 2015г.

Изследователите се съсредоточиха относно контрола на достъпа, точка за сигурност, спомената в програмата като проблем в обхвата: достъп до данни, за които не сте упълномощени, до данни на други обучаеми или възможност за използване на вътрешни, бекенд административни системи.

Checkmarx откри множество проблеми с API, включително изброяване чрез грешка във функцията за нулиране на паролата, ограничения на ресурсите, свързани както с GraphQL, така и с REST API, и неправилна конфигурация на GraphQL.

Основният въпрос на бележката обаче беше разрешение за ниво на счупен обект (БОЛА) недостатък в сигурността, считан от OWASP за основна заплаха поради лекотата на експлоатация.

BOLA недостатъците в API могат да разкрият крайни точки, които обработват идентификатори на обекти, потенциално отваряйки вратата за по-широки атаки.

Установената уязвимост BOLA е свързана с предпочитания, съхранявани в акаунти на учащи. Анонимните потребители могат да извличат тази информация, както и да ги променят – и освен това някои потребителски метаданни също бяха изтекли.

„Въпросите с упълномощаването са, за съжаление, доста често срещани при API“, казват изследователите. “Много е важно да се централизират проверките за контрол на достъпа в един, добре и непрекъснато тестван и активно поддържан компонент. Новите крайни точки на API или промените в съществуващите трябва да бъдат внимателно прегледани по отношение на техните изисквания за сигурност.”

Checkmarx докладва своите констатации на Coursera на 5 октомври 2020 г., а доставчикът на електронно обучение започна да проверява доклада на 26 октомври. До 18 декември беше издаден частичен пластир, но допълнителен „проблем“ изискваше повторни тестове, забавяйки потвърждение за корекции до 24 май.

Въпреки закъсненията при пълно разрешаване на уязвимостите, изследователите казват, че Coursera е взела “бърза собственост” върху грешките в API, веднъж докладвани.

“Поверителността и сигурността на обучаемите в Coursera е основен приоритет,” заяви Coursera пред ZDNet. „Благодарни сме на Checkmarx за това, че миналата година постави на вниманието на нашия екип по сигурността проблемите, свързани с приложния програмен интерфейс (API), които успяха своевременно да разрешат и разрешат проблемите.“


? | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com