تهديد XSS الجديد يستغل عمليات تسجيل الدخول الاجتماعية عبر OAuth، مما يعرض ملايين مواقع الويب للخطر

اكتشفت شركة Salt Labs، الذراع البحثي لشركة Salt Security الأمنية لواجهة برمجة التطبيقات (API)، مؤخرًا ثغرة كبيرة في البرمجة النصية عبر المواقع (XSS) والتي لديها القدرة على التأثير على ملايين مواقع الويب على مستوى العالم. على عكس ثغرة المنتج التي يمكن تصحيحها مركزيًا، تنبع هذه المشكلة من تنفيذ OAuth - وهو تطبيق يستخدم على نطاق واسع لتسجيلات الدخول الاجتماعية - داخل كود الويب. على الرغم من الاعتقاد السائد بين المطورين بأن تهديدات XSS أصبحت شيئًا من الماضي، إلا أن النتائج التي توصلت إليها Salt Labs تسلط الضوء على الرقابة الحاسمة في أمان الويب.

الرضا عن الألفة

أدت سهولة تنفيذ OAuth لتسجيلات الدخول الاجتماعية إلى شعور بالرضا عن النفس بين المطورين. لكن هذه المعرفة يمكن أن تؤدي إلى أخطاء كبيرة. وتكمن القضية الأساسية في إدخال تكنولوجيا وعمليات جديدة إلى النظام البيئي القائم، وهو ما يمكن أن يخل بالتوازن القائم. وهذا ليس عيبًا في OAuth نفسه، ولكن في كيفية تنفيذه عبر مواقع الويب المختلفة. اكتشفت شركة Salt Labs أنه بدون العناية الدقيقة والصرامة، يمكن أن يؤدي استخدام OAuth إلى إنشاء مسار XSS جديد يتجاوز عمليات التخفيف الحالية، مما قد يؤدي إلى عمليات استحواذ كاملة على الحساب.

دراسات الحالة: HotJar وBusiness Insider

ركزت أبحاث Salt Labs على عمليات التنفيذ التي قامت بها شركتان بارزتان: HotJar وBusiness Insider. تم اختيار هذه الشركات نظرًا لمواقفها الأمنية الكبيرة والكم الكبير من معلومات التعريف الشخصية (PII) التي تتعامل معها. إذا تمكنت هذه الشركات الكبرى من إساءة تنفيذ بروتوكول OAuth ، فإن احتمال ارتكاب مواقع الويب الأصغر حجمًا والأقل مواردًا لأخطاء مماثلة مرتفع. كشف Yaniv Balmas، نائب رئيس الأبحاث في Salt Security، عن وجود مشكلات مماثلة لـ OAuth في مواقع الويب بما في ذلك Booking.com وGrammarly وOpenAI، على الرغم من عدم تضمينها في التقرير.

وقد تم تسليط الضوء على HotJar، على وجه الخصوص، نظرًا لتشبع سوقها الواسع والكميات الهائلة من بيانات المستخدم التي تجمعها. يعمل HotJar بشكل مشابه لبرنامج Google Analytics، ويسجل بيانات جلسة المستخدم، بما في ذلك لقطات الشاشة ونقرات لوحة المفاتيح وإجراءات الماوس. يمكن أن تشمل هذه البيانات معلومات حساسة مثل الأسماء ورسائل البريد الإلكتروني والعناوين والرسائل الخاصة والتفاصيل المصرفية وبيانات الاعتماد. تسمح الثغرة المكتشفة للمهاجمين باستغلال عملية تسجيل الدخول الاجتماعي عبر OAuth عن طريق تزوير واعتراض أسرار تسجيل الدخول، وبالتالي الحصول على وصول غير مصرح به إلى حسابات المستخدمين.

منهجية الهجوم

تتضمن طريقة الهجوم دمج XSS مع تدفق تسجيل الدخول OAuth. يبدأ الهجوم من خلال رابط معد يحاكي طلب تسجيل الدخول الاجتماعي الشرعي لـ HotJar. عندما ينقر الضحية على هذا الرابط، يمكن للمهاجم اعتراض أسرار تسجيل الدخول، مما يؤدي إلى الاستيلاء على الحساب بالكامل. تؤكد هذه الثغرة الأمنية على أهمية ممارسات التنفيذ الآمنة، والتي تتجاهلها العديد من مواقع الويب أو تفتقر إلى الخبرة اللازمة لتنفيذها.

التدابير والأدوات الاستباقية

واستجابة لهذه النتائج، نشرت Salt Labs منهجياتها وأداة فحص مجانية لمساعدة مشغلي مواقع الويب على تحديد ومعالجة مشكلات تنفيذ OAuth XSS المحتملة. ويهدف هذا النهج الاستباقي إلى التخفيف من المخاطر قبل أن تتصاعد إلى خروقات أمنية كبيرة. وبينما يحذر بالماس من أنه لا يمكن ضمان النجاح بنسبة 100%، فإن الأداة توفر نظام إنذار مبكر قيمًا للمؤسسات لتعزيز أوضاعها الأمنية.

يعد اكتشاف Salt Labs بمثابة تذكير صارخ بأن حتى التقنيات الموثوقة على نطاق واسع مثل OAuth تتطلب تنفيذًا دؤوبًا وآمنًا. ومع استمرار تطور المشهد الرقمي، يجب أيضًا أن نحرص على يقظتنا والتزامنا بممارسات الأمن السيبراني القوية.