Uus XSS-i oht kasutab ära OAuthi sotsiaalseid sisselogimisi, seades ohtu miljonid veebisaidid
API turvafirma Salt Security uurimisrühm Salt Labs avastas hiljuti olulise saidiülese skriptimise (XSS) haavatavuse , mis võib mõjutada miljoneid veebisaite kogu maailmas. Erinevalt toote haavatavusest, mida saab tsentraalselt parandada, tuleneb see probleem OAuthi – sotsiaalsete sisselogimiste jaoks laialdaselt kasutatava rakenduse – rakendamisest veebikoodis. Hoolimata arendajate seas levinud arvamusest, et XSS-i ohud on minevik, rõhutavad Salt Labsi leiud veebiturvalisuse kriitilist järelevalvet.
Sisukord
Tundlikkuse rahulolu
OAuthi juurutamise lihtsus sotsiaalsete sisselogimiste jaoks on tekitanud arendajates rahulolutunde. Selline tundmine võib aga kaasa tuua olulisi vigu. Põhiküsimus seisneb uue tehnoloogia ja protsesside juurutamises olemasolevasse ökosüsteemi, mis võib väljakujunenud tasakaalu häirida. See ei ole OAuthi enda viga, vaid selles, kuidas seda erinevatel veebisaitidel rakendatakse. Salt Labs avastas, et ilma hoolika hoolitsuse ja ranguseta võib OAuthi kasutamine luua uue XSS-marsruudi, mis läheb mööda praegustest leevendustest, mis võib viia konto täieliku ülevõtmiseni.
Juhtumiuuringud: HotJar ja Business Insider
Salt Labsi uurimustöö keskendus kahe silmapaistva ettevõtte – HotJar ja Business Insider – rakendustele. Need ettevõtted valiti nende oluliste turvapositsioonide ja märkimisväärse hulga isikut tuvastava teabe (PII) tõttu. Kui sellised suured ettevõtted võivad OAuthi valesti rakendada , on tõenäosus, et väiksemad ja vähem ressurssidega veebisaidid teevad sarnaseid vigu. Yaniv Balmas, Salt Security uuringute asepresident, paljastas, et sarnaseid OAuthi probleeme leiti veebisaitidelt, sealhulgas Booking.com, Grammarly ja OpenAI, kuigi neid aruanne ei sisaldanud.
Eelkõige tõsteti esile HotJar selle ulatusliku turuküllastuse ja kogutavate kasutajaandmete tohutu hulga tõttu. Sarnaselt Google Analyticsiga toimides salvestab HotJar kasutaja seansi andmed, sealhulgas ekraanipildid, klaviatuuri klõpsud ja hiiretoimingud. Need andmed võivad hõlmata tundlikku teavet, nagu nimed, e-kirjad, aadressid, privaatsõnumid, pangaandmed ja volikirjad. Avastatud haavatavus võimaldab ründajatel kasutada OAuthi sotsiaalset sisselogimise protsessi, võltsides ja pealtkuulades sisselogimissaladusi, saades seeläbi volitamata juurdepääsu kasutajakontodele.
Rünnaku metoodika
Rünnakumeetod hõlmab XSS-i kombineerimist OAuthi sisselogimisvooga. Loodud link, mis jäljendab õigustatud HotJari sotsiaalse sisselogimise taotlust, käivitab rünnaku. Kui ohver sellel lingil klõpsab, saab ründaja sisselogimissaladused kinni pidada, mis viib konto täieliku ülevõtmiseni. See haavatavus rõhutab turvaliste rakendustavade olulisust, mida paljud veebisaidid kas kahe silma vahele jätavad või mille teostamiseks puudub asjatundlikkus.
Ennetavad meetmed ja tööriistad
Vastuseks nendele leidudele avaldas Salt Labs oma metoodikad ja tasuta skanneritööriista, mis aitab veebisaitide operaatoritel tuvastada ja lahendada võimalikke OAuth XSS-i juurutamisprobleeme. Selle ennetava lähenemisviisi eesmärk on maandada riske enne, kui need eskaleeruvad olulisteks turvarikkumisteks. Kuigi Balmas hoiatab, et 100% edu ei saa garanteerida, pakub tööriist organisatsioonidele väärtuslikku varajase hoiatamise süsteemi oma turvapositsioonide tugevdamiseks.
Salt Labsi avastus tuletab meelde, et isegi laialdaselt usaldusväärsed tehnoloogiad, nagu OAuth, nõuavad hoolikat ja turvalist rakendamist. Kuna digitaalne maastik areneb jätkuvalt, peab olema ka meie valvsus ja pühendumus tugevatele küberjulgeolekutavadele.