নতুন XSS থ্রেট OAuth সোশ্যাল লগইনগুলিকে কাজে লাগায় যা লক্ষ লক্ষ ওয়েবসাইটকে ঝুঁকিতে ফেলে
এপিআই সিকিউরিটি ফার্ম সল্ট সিকিউরিটির গবেষণা শাখা সল্ট ল্যাবস সম্প্রতি একটি উল্লেখযোগ্য ক্রস-সাইট স্ক্রিপ্টিং (XSS) দুর্বলতা আবিষ্কার করেছে যা বিশ্বব্যাপী লক্ষ লক্ষ ওয়েবসাইটকে প্রভাবিত করার সম্ভাবনা রাখে। একটি পণ্যের দুর্বলতার বিপরীতে যা কেন্দ্রীয়ভাবে প্যাচ করা যেতে পারে, এই সমস্যাটি OAuth-এর বাস্তবায়ন থেকে উদ্ভূত হয়—সামাজিক লগইনগুলির জন্য একটি বহুল ব্যবহৃত অ্যাপ—ওয়েব কোডের মধ্যে। ডেভেলপারদের মধ্যে সাধারণ বিশ্বাস থাকা সত্ত্বেও যে XSS হুমকিগুলি অতীতের একটি বিষয়, সল্ট ল্যাবসের অনুসন্ধানগুলি ওয়েব নিরাপত্তায় একটি সমালোচনামূলক তদারকিকে তুলে ধরে।
সুচিপত্র
পরিচিতির আত্মতুষ্টি
সামাজিক লগইনের জন্য OAuth বাস্তবায়নের সহজতা ডেভেলপারদের মধ্যে আত্মতুষ্টির অনুভূতির দিকে নিয়ে গেছে। এই পরিচিতি, তবে, উল্লেখযোগ্য ভুল হতে পারে। মৌলিক সমস্যাটি বিদ্যমান বাস্তুতন্ত্রে নতুন প্রযুক্তি এবং প্রক্রিয়াগুলির প্রবর্তনের মধ্যে রয়েছে, যা প্রতিষ্ঠিত ভারসাম্যকে ব্যাহত করতে পারে। এটি OAuth-এর মধ্যেই কোনও ত্রুটি নয়, তবে এটি বিভিন্ন ওয়েবসাইট জুড়ে কীভাবে প্রয়োগ করা হয় তাতে। সল্ট ল্যাবস আবিষ্কার করেছে যে যত্নশীল যত্ন এবং কঠোরতা ছাড়াই, OAuth-এর ব্যবহার একটি নতুন XSS রুট তৈরি করতে পারে যা বর্তমান প্রশমনকে বাইপাস করে, সম্ভাব্যভাবে সম্পূর্ণ অ্যাকাউন্ট টেকওভারের দিকে পরিচালিত করে।
কেস স্টাডিজ: হটজার এবং বিজনেস ইনসাইডার
সল্ট ল্যাবসের গবেষণা দুটি বিশিষ্ট ফার্ম দ্বারা বাস্তবায়নের উপর দৃষ্টি নিবদ্ধ করে: হটজার এবং বিজনেস ইনসাইডার। এই কোম্পানিগুলিকে তাদের যথেষ্ট নিরাপত্তা ভঙ্গি এবং ব্যক্তিগতভাবে শনাক্তযোগ্য তথ্যের (PII) উল্লেখযোগ্য পরিমাণের কারণে বেছে নেওয়া হয়েছে। যদি এই ধরনের বড় সংস্থাগুলি OAuth-এর ভুল-প্রয়োগ করতে পারে, তাহলে ছোট, কম ভাল-সঞ্চিত ওয়েবসাইটগুলির অনুরূপ ত্রুটি করার সম্ভাবনা বেশি। সল্ট সিকিউরিটির গবেষণার ভিপি ইয়ানিভ বালমাস প্রকাশ করেছেন যে একই রকম OAuth সমস্যাগুলি Booking.com, Grammarly এবং OpenAI সহ ওয়েবসাইটগুলিতে পাওয়া গেছে, যদিও এগুলি রিপোর্টে অন্তর্ভুক্ত করা হয়নি।
HotJar, বিশেষ করে, এর ব্যাপক বাজার স্যাচুরেশন এবং এটি সংগ্রহ করা ব্যবহারকারীর বিপুল পরিমাণ ডেটার কারণে হাইলাইট করা হয়েছিল। গুগল অ্যানালিটিক্সের অনুরূপভাবে কাজ করে, হটজার স্ক্রিনশট, কীবোর্ড ক্লিক এবং মাউস অ্যাকশন সহ ব্যবহারকারীর সেশন ডেটা রেকর্ড করে। এই ডেটাতে নাম, ইমেল, ঠিকানা, ব্যক্তিগত বার্তা, ব্যাঙ্কের বিবরণ এবং শংসাপত্রের মতো সংবেদনশীল তথ্য অন্তর্ভুক্ত থাকতে পারে। আবিষ্কৃত দুর্বলতা আক্রমণকারীদের লগইন গোপনীয়তা জালিয়াতি এবং বাধা দিয়ে OAuth সামাজিক লগইন প্রক্রিয়াকে কাজে লাগাতে দেয়, যার ফলে ব্যবহারকারীর অ্যাকাউন্টগুলিতে অননুমোদিত অ্যাক্সেস লাভ করে৷
আক্রমণ পদ্ধতি
আক্রমণ পদ্ধতিতে XSS-কে OAuth লগইন প্রবাহের সাথে একত্রিত করা জড়িত। একটি নকল করা লিঙ্ক একটি বৈধ HotJar সামাজিক লগইন অনুরোধের অনুকরণ করে আক্রমণটি শুরু করে৷ যখন একজন শিকার এই লিঙ্কে ক্লিক করে, আক্রমণকারী লগইন গোপনীয়তাগুলিকে আটকাতে পারে, যার ফলে পুরো অ্যাকাউন্ট টেকওভার হয়। এই দুর্বলতা সুরক্ষিত বাস্তবায়ন অনুশীলনের গুরুত্বকে আন্ডারস্কোর করে, যা অনেক ওয়েবসাইট হয় উপেক্ষা করে বা কার্যকর করার দক্ষতার অভাব করে।
সক্রিয় ব্যবস্থা এবং সরঞ্জাম
এই ফলাফলগুলির প্রতিক্রিয়া হিসাবে, সল্ট ল্যাবগুলি ওয়েবসাইট অপারেটরদের সম্ভাব্য OAuth XSS বাস্তবায়ন সমস্যাগুলি সনাক্ত করতে এবং সমাধান করতে সহায়তা করার জন্য তার পদ্ধতিগুলি এবং একটি বিনামূল্যের স্ক্যানার টুল প্রকাশ করেছে৷ এই সক্রিয় পদ্ধতির লক্ষ্য হল ঝুঁকিগুলিকে উল্লেখযোগ্য নিরাপত্তা লঙ্ঘনে পরিণত হওয়ার আগে প্রশমিত করা। যদিও বালমাস সতর্ক করে যে 100% সাফল্যের নিশ্চয়তা দেওয়া যায় না, টুলটি সংস্থাগুলিকে তাদের নিরাপত্তা ভঙ্গি শক্তিশালী করার জন্য একটি মূল্যবান প্রাথমিক সতর্কতা ব্যবস্থা প্রদান করে।
সল্ট ল্যাবসের আবিষ্কারটি একটি স্পষ্ট অনুস্মারক হিসাবে কাজ করে যে এমনকি OAuth-এর মতো ব্যাপকভাবে বিশ্বস্ত প্রযুক্তির জন্য পরিশ্রমী এবং নিরাপদ বাস্তবায়ন প্রয়োজন। ডিজিটাল ল্যান্ডস্কেপ যেমন বিকশিত হতে থাকে, তেমনি সাইবার নিরাপত্তা অনুশীলনের জন্য আমাদের সতর্কতা এবং প্রতিশ্রুতিও থাকতে হবে।