چگونه ویرایش یک URL به کلاهبرداران اجازه می‌دهد به گزارش‌های اعتباری Experian دسترسی پیدا کنند


بر اساس یک گزارش خبری، عوامل تهدید از یک اشتباه کنترل دسترسی به وب سایت برای کپی کردن اطلاعات شخصی یکی از بزرگترین آژانس های رتبه بندی اعتباری جهان سوء استفاده می کنند.

برایان کربس، گزارشگر امنیت سایبری می‌گوید که با دانستن نحوه ویرایش یک URL، هر کسی می‌تواند اطلاعات رتبه‌بندی اعتباری که توسط Experian نگهداری می‌شود را ببیند.

معمولاً افراد برای اثبات هویت خود باید به چندین سؤال در مورد تاریخچه مالی خود به صورت آنلاین پاسخ دهند. با این حال، با دانش اندکی از هر فرد برای شروع – نام، آدرس، تاریخ تولد و شماره تامین اجتماعی – و آگاهی از ضعف URL، هرگونه سابقه اعتباری در دسترس بود.

کربس می‌گوید که توسط یک محقق امنیتی اوکراینی به او در مورد این ضعف اطلاع داده شده است، او متوجه شد که سارقان هویت پس از نظارت بر کانال‌های چت مورد استفاده کلاهبرداران در سرویس پیام‌رسانی تلگرام، می‌دانند چگونه از URL bypass استفاده کنند.

این آسیب پذیری در ماه دسامبر بسته شد. مشخص نیست که این آسیب‌پذیری چه مدت در دسترس بوده یا چند عامل تهدید از آن استفاده کرده‌اند.

IT World Canada هفت روز پیش از Experian نظر خواست. هیچ پاسخی دریافت نشده است.

آدام گرین هیل، مهندس امنیت در Healthcare of Ontario Pension Plan و یکی از رهبران بخش تورنتو پروژه امنیت وب اپلیکیشن آنلاین، گفت OWASP این موضوع را به عنوان یک مشکل کنترل دسترسی شکسته طبقه بندی می کند (A01-2021). در لیست آسیب پذیری های رایج مرتبط با وب OWASP در 10 رتبه برتر قرار دارد.

حتما بخوانید:
امنیت سایبری امروز ، 25 آگوست 2021 - هشدار برای کاربران Microsoft Power Apps ، آسیب پذیری در پمپ پزشکی و موارد دیگر.

او در مصاحبه ای گفت: «این خیلی اتفاق می افتد. “دلیل اصلی این است که مجوز در برنامه اجرا نمی شود.”

برای دسترسی به رتبه اعتباری یک فرد در زمانی که آسیب پذیری موجود بود، یک شخص با پر کردن یک برنامه آنلاین با اطلاعات شخصی (نام، آدرس، تاریخ تولد و شماره تامین اجتماعی) برای تأیید هویت شروع به کار کرد. این آنها را به صفحه ای با چندین سؤال شخصی برد که باید به آنها پاسخ داده می شد، مانند “در کدام یک از آدرس های زیر برای زندگی کردن استفاده کردید”. پاسخ اشتباه، دسترسی به گزارش را رد می کند. با این حال، هر کسی که می دانست چگونه URL آن صفحه را ویرایش کند، می تواند گزارش اعتبار را دریافت کند.

ترفند این بود که URL انتهایی صفحه را از “/acr/oow/” به “/acr/report” تغییر دهید تا سایت به گزارش درخواستی دسترسی داشته باشد.

توسعه دهندگان وب از طریق مدل سازی مناسب تهدید می توانند از این نوع آسیب پذیری جلوگیری کنند. گرین هیل گفت، و با اطمینان از اینکه احراز هویت در هر جایی که طراحی مشخص شده است، اجرا می شود. وی افزود، قبل از اینکه برنامه به صورت زنده اجرا شود، یک تست نفوذ نیز باید به عنوان بررسی دوم انجام شود.

گرین هیل در پاسخ به این سوال که آیا بسیاری از توسعه دهندگان وب مانند یک هکر فکر می کنند، پاسخ داد که آنها معمولا اولویت های دیگری دارند. «بیشتر توسعه دهندگان برای پیاده سازی ویژگی ها پول می گیرند. اگر آنها بودجه یا زمان لازم برای اجرای امنیت را نداشته باشند و این یک الزام طراحی نباشد، ممکن است نادیده گرفته شود.

حتما بخوانید:
لباس استوک بچگانه

او گفت که امروزه بیشتر متداول است که در دوره های توسعه اپلیکیشن به دانش آموزان آموزش امنیت وب داده شود. اما، او افزود، “تیم های توسعه برای انجام سریع کارها تحت فشار شدید قرار دارند، بنابراین می توان امنیت را در اولویت قرار داد.”

OWASP می گوید کنترل دسترسی تنها در کدهای مورد اعتماد سمت سرور یا یک API بدون سرور موثر است که در آن مهاجم نمی تواند بررسی کنترل دسترسی یا ابرداده را تغییر دهد.


منبع: night-sky.ir

دیدگاهتان را بنویسید