Нова XSS заплаха експлоатира OAuth социални влизания, излагайки на риск милиони уебсайтове
Salt Labs, изследователското звено на фирмата за сигурност на API Salt Security, наскоро откри значителна уязвимост на междусайтови скриптове (XSS), която има потенциала да засегне милиони уебсайтове в световен мащаб. За разлика от уязвимостта на продукта, която може да бъде централно коригирана, този проблем произтича от внедряването на OAuth – широко използвано приложение за социални влизания – в рамките на уеб код. Въпреки общоприетото убеждение сред разработчиците, че XSS заплахите са нещо от миналото, откритията на Salt Labs подчертават критичен пропуск в уеб сигурността.
Съдържание
Самодоволството на фамилиарността
Лесното прилагане на OAuth за социални влизания доведе до чувство на самодоволство сред разработчиците. Това познаване обаче може да доведе до значителни грешки. Основният проблем е въвеждането на нови технологии и процеси в съществуваща екосистема, което може да наруши установеното равновесие. Това не е недостатък в самия OAuth, а в начина, по който се прилага в различни уебсайтове. Salt Labs откри, че без щателна грижа и строгост, използването на OAuth може да създаде нов XSS маршрут, който заобикаля текущите смекчаващи мерки, което потенциално води до пълно поглъщане на акаунти.
Казуси от практиката: HotJar и Business Insider
Изследванията на Salt Labs се фокусираха върху внедряванията от две известни фирми: HotJar и Business Insider. Тези компании бяха избрани поради техните значителни позиции в областта на сигурността и значителното количество лична информация (PII), с която работят. Ако такива големи фирми могат да внедрят неправилно OAuth , вероятността по-малки уебсайтове с по-малко ресурси да правят подобни грешки е голяма. Янив Балмас, вицепрезидент по изследванията в Salt Security, разкри, че подобни проблеми с OAuth са открити в уебсайтове, включително Booking.com, Grammarly и OpenAI, въпреки че те не са включени в доклада.
HotJar, по-специално, беше подчертан поради широкото си насищане на пазара и огромните количества потребителски данни, които събира. Работейки подобно на Google Analytics, HotJar записва данни за потребителските сесии, включително екранни снимки, кликвания на клавиатурата и действия с мишката. Тези данни могат да включват чувствителна информация като имена, имейли, адреси, лични съобщения, банкови данни и идентификационни данни. Откритата уязвимост позволява на атакуващите да експлоатират процеса на OAuth социално влизане чрез подправяне и прихващане на тайни за влизане, като по този начин получават неоторизиран достъп до потребителски акаунти.
Методологията на атаката
Методът на атака включва комбиниране на XSS с потока за влизане в OAuth. Създадена връзка, имитираща легитимна заявка за социално влизане в HotJar, инициира атаката. Когато жертва щракне върху тази връзка, нападателят може да прихване тайните за влизане, което води до пълно превземане на акаунта. Тази уязвимост подчертава значението на практиките за сигурно внедряване, които много уебсайтове или пренебрегват, или им липсва опит за изпълнение.
Проактивни мерки и инструменти
В отговор на тези констатации Salt Labs публикува своите методологии и безплатен инструмент за сканиране, за да помогне на операторите на уебсайтове да идентифицират и адресират потенциални проблеми с прилагането на OAuth XSS. Този проактивен подход има за цел да смекчи рисковете, преди те да ескалират в значителни пробиви в сигурността. Докато Balmas предупреждава, че 100% успех не може да бъде гарантиран, инструментът предоставя ценна система за ранно предупреждение за организациите, за да укрепят позициите си за сигурност.
Откритието на Salt Labs служи като ярко напомняне, че дори широко доверени технологии като OAuth изискват старателно и сигурно внедряване. Тъй като дигиталната среда продължава да се развива, трябва да се развива и нашата бдителност и ангажираност към стабилни практики за киберсигурност.