Shikata Ga Nai

Private? There is no such things.

Vulnerable design leads to personal data leakageを訳してみた

Hello there, ('ω')ノ

 

脆弱な設計は個人データの漏洩につながるを。

 

脆弱性:

 論理的な欠陥

 

記事:

 https://infosecwriteups.com/vulnerable-design-leads-to-personal-data-leakage-yet-another-case-of-an-inter-application-8a9d7e2d0f1a

 

システム間の依存関係とアプリケーションの統合のために。

存在する問題について説明することに。

簡単に言うと、2つのアプリケーションには脆弱性がありませんが。

1つと見なすと、セキュリティ上の大きな懸念が生じて。


バックグラウンド:

脆弱性は、大手国際企業の脆弱性報奨金プログラムで特定されて。

機密保持の理由から詳細を共有することはできず。

会社のバグ報奨金プログラムの範囲には、まったく同様の目的で。

使用された複数のドメイン(アプリケーション)が含まれていて。

これらのアプリをテストしているときに、アプリ内の特定の機能の。

コードが共有されていることに簡単に気付くことができて。

それは両方のアプリケーションが同じバックエンドデータソースを照会して。

ユーザに関する情報を取得していて。

また、共有されたメカニズムには、登録が成功した後に。

更新できる機密性の高い個人データを処理(読み取り/書き込み)するメカニズムが。

含まれていたものの、登録メカニズム自体は明確に分離されていたので。

下の図で脆弱な設計を視覚化してみると。

 

f:id:ThisIsOne:20220121212738p:plain

 

認証が成功すると、アプリケーションサーバはバックエンドデータソースに。

要求を送信し、認証中に提供された電子メールアドレスに基づいて。

個人データを照会して。

f:id:ThisIsOne:20220121212800p:plain

 

誰かがApp1にすでに登録されているのと同じ電子メールアドレスを使用して。

App2に登録すると他のユーザのデータへのアクセスができて。

 

f:id:ThisIsOne:20220121212824p:plain

 

つまり、データベースに登録されているユーザのメールアドレスを知っているだけで。

そのユーザの個人データにアクセスできて。

ちなみに、この種の攻撃を防ぐためのアカウントアクティベーションメールや。

その他のメカニズムはなくて。


概要:

安全なシステムを構築することは。

システム内の脆弱性を見つけることよりもはるかに困難で。

実際には影響を与えられない複数のアプリケーション設計を。

統合する必要がある場合、構築はさらに困難になって。

 

Best regards, (^^ゞ