Nová hrozba XSS využívá přihlášení k sociální síti OAuth a ohrožuje miliony webových stránek
Salt Labs, výzkumná pobočka firmy Salt Security na zabezpečení API, nedávno objevila významnou chybu zabezpečení v oblasti skriptování mezi weby (XSS), která má potenciál ovlivnit miliony webových stránek po celém světě. Na rozdíl od zranitelnosti produktu, kterou lze centrálně opravit, tento problém pramení z implementace OAuth – široce používané aplikace pro sociální přihlášení – v rámci webového kódu. Navzdory obecnému přesvědčení mezi vývojáři, že hrozby XSS jsou věcí minulosti, zjištění Salt Labs zdůrazňují kritický dohled nad zabezpečením webu.
Obsah
Spokojenost se obeznámeností
Snadná implementace OAuth pro sociální přihlášení vedla k pocitu uspokojení mezi vývojáři. Tato znalost však může vést k významným chybám. Zásadní problém spočívá v zavádění nových technologií a procesů do existujícího ekosystému, které mohou narušit nastolenou rovnováhu. Toto není chyba v samotném OAuth, ale v tom, jak je implementován na různých webech. Společnost Salt Labs zjistila, že bez pečlivé péče a přísnosti může použití protokolu OAuth vytvořit novou trasu XSS, která obchází současná omezení, což může vést k úplnému převzetí účtu.
Případové studie: HotJar a Business Insider
Výzkum Salt Labs se zaměřil na implementace dvou předních firem: HotJar a Business Insider. Tyto společnosti byly vybrány kvůli jejich značnému bezpečnostnímu postavení a značnému množství osobních údajů (PII), s nimiž nakládají. Pokud takové velké firmy mohou chybně implementovat OAuth , pravděpodobnost, že menší weby s horšími zdroji budou dělat podobné chyby, je vysoká. Yaniv Balmas, viceprezident výzkumu společnosti Salt Security, odhalil, že podobné problémy s protokolem OAuth byly nalezeny na webových stránkách včetně Booking.com, Grammarly a OpenAI, i když tyto nebyly ve zprávě zahrnuty.
HotJar byl zvláště vyzdvihován kvůli rozsáhlému nasycení trhu a obrovskému množství uživatelských dat, které shromažďuje. HotJar funguje podobně jako Google Analytics a zaznamenává data uživatelských relací, včetně snímků obrazovky, kliknutí na klávesnici a akcí myši. Tato data mohou zahrnovat citlivé informace, jako jsou jména, e-maily, adresy, soukromé zprávy, bankovní údaje a přihlašovací údaje. Zjištěná zranitelnost umožňuje útočníkům zneužít proces sociálního přihlášení OAuth falšováním a zachycením přihlašovacích tajemství, a tím získat neoprávněný přístup k uživatelským účtům.
Metodika útoku
Metoda útoku zahrnuje kombinaci XSS s přihlašovacím postupem OAuth. Vytvořený odkaz napodobující legitimní požadavek na sociální přihlášení HotJar zahájí útok. Když oběť klikne na tento odkaz, útočník může zachytit přihlašovací tajemství, což vede k úplnému převzetí účtu. Tato zranitelnost podtrhuje důležitost bezpečných implementačních postupů, které mnoho webů buď přehlíží, nebo jim chybí odborné znalosti k jejich provedení.
Proaktivní opatření a nástroje
V reakci na tato zjištění společnost Salt Labs zveřejnila své metodiky a bezplatný nástroj pro skenování, který provozovatelům webových stránek pomáhá identifikovat a řešit potenciální problémy s implementací OAuth XSS. Cílem tohoto proaktivního přístupu je zmírnit rizika dříve, než přerostou ve významná narušení bezpečnosti. Zatímco Balmas varuje, že nelze zaručit 100% úspěch, tento nástroj poskytuje organizacím cenný systém včasného varování, aby posílily své bezpečnostní pozice.
Objev společnosti Salt Labs slouží jako jasná připomínka, že i široce důvěryhodné technologie, jako je OAuth, vyžadují pečlivou a bezpečnou implementaci. Jak se digitální prostředí neustále vyvíjí, musí se také vyvíjet naše ostražitost a oddanost robustním postupům v oblasti kybernetické bezpečnosti.