هاكاثون جامعة تورنتو: اكتشاف ثغرة أمنية عرضيًا
2025-03-20
عثر طالب في جامعة تورنتو على ثغرة أمنية بالصدفة أثناء تسجيله في هاكاثون GenAI Genesis 2025. بعد إعادة تعيين كلمة المرور الخاصة به (فشل مدير كلمات المرور في حفظها)، لاحظ أن رابط إعادة التعيين يشير إلى تطبيق Firebase. بدافع الفضول، جرب بعض تقنيات استغلال Firebase الشائعة. اكتشف أن الموقع قام بتحديث حالة الطلب عن طريق كتابة كائن الطلب بالكامل، وليس فقط الحقول اللازمة. باستغلال هذه الثغرة، تمكن من تغيير حالة طلبه بنجاح إلى "مقبول". كما عثر على ثغرة أمنية تتعلق بتسريب المعلومات، مما يسمح بالوصول المبكر لنتائج المراجعة، ومعلومات المراجع، والتعليقات. تم إصلاح الثغرة الأمنية لاحقًا.
التطوير