SaaS وأنظمة الأعمال

ثغرة أمنية عمرها 4 سنوات لتجاوز المصادقة مخفية في واجهة برمجة التطبيقات الخاصة بإعادة تعيين كلمة المرور - الاكتشاف والإصلاح السريع والاسترداد

تحولت إحدى تذاكر دعم العملاء - "لا أستطيع تسجيل الدخول، لكنني لم أغير كلمة المرور الخاصة بي مطلقًا" - إلى اكتشاف ثغرة أمنية عمرها 4 سنوات لتجاوز المصادقة في واجهة برمجة تطبيقات إعادة تعيين كلمة المرور الخاصة بـ SaaS. يمكن لأي شخص لديه عنوان بريد إلكتروني استبدال كلمة مرور هذا الحساب عن طريق الضغط على نقطة النهاية مباشرة. إليك تقرير الحادث الكامل: الاكتشاف، وإعادة إنتاج ضمان الجودة، والإصلاح العاجل، والنشر، والاسترداد.

8 مايو 2026 1 دقائق قراءة

بعد آخر مشاركة لي حول فشل خطاف الويب الخاص بـ Stripe بصمت لمدة 5 أيام، وقع الحادث التالي بعد يومين.

"يقول موظفونا إنهم لا يستطيعون تسجيل الدخول. ولم يغيروا كلمة المرور الخاصة بهم."

أبلغ متجر آخر عن نفس الأعراض. "يحدث ذلك في بعض الأحيان."

وتبين أن هذه "أحيانًا" كانت عبارة عن ثغرة أمنية لتجاوز مصادقة واجهة برمجة التطبيقات (API) عمرها 4 سنوات. منشور Build-in-Public رقم 8 — سجل الحوادث الكامل.

لقد راجعت قاعدة البيانات. تم بالفعل تحديث عمود كلمة مرور الحساب المتأثر (تجزئة bcrypt) في ذلك الصباح. لكن المستخدم يقول أنهم لم يغيروه.

فرضيتي الأولى: خطأ في لوحة إدارة الموظفين حيث يؤدي تحرير طاقم التمثيل (= المؤدي / الموظف) إلى استبدال كلمة المرور الخاصة بهم بصمت. مشكلة الحقل المخفي لحالة نموذج التفاعل الكلاسيكي.

المصدر: dev.to