تهدید جدید XSS از ورود اجتماعی OAuth سوء استفاده می کند و میلیون ها وب سایت را در معرض خطر قرار می دهد

Salt Labs، بازوی تحقیقاتی شرکت امنیت API Salt Security، اخیراً یک آسیب‌پذیری قابل توجه در اسکریپت بین سایتی (XSS) را کشف کرده است که می‌تواند بر میلیون‌ها وب‌سایت در سراسر جهان تأثیر بگذارد. برخلاف آسیب‌پذیری محصولی که می‌توان آن را به‌صورت مرکزی وصله کرد، این مشکل از پیاده‌سازی OAuth - یک برنامه پرکاربرد برای ورود به سیستم اجتماعی - در کد وب ناشی می‌شود. علیرغم این باور رایج در میان توسعه دهندگان مبنی بر اینکه تهدیدات XSS مربوط به گذشته است، یافته های Salt Labs یک نظارت اساسی در امنیت وب را برجسته می کند.

رضایت از آشنایی

سهولت اجرای OAuth برای لاگین های اجتماعی باعث ایجاد حس رضایت در بین توسعه دهندگان شده است. اما این آشنایی می تواند منجر به اشتباهات قابل توجهی شود. مسئله اساسی در معرفی فناوری و فرآیندهای جدید به اکوسیستم موجود است که می تواند تعادل ایجاد شده را مختل کند. این یک نقص در خود OAuth نیست، بلکه در نحوه پیاده سازی آن در وب سایت های مختلف است. Salt Labs کشف کرد که بدون مراقبت و دقت دقیق، استفاده از OAuth می‌تواند یک مسیر XSS جدید ایجاد کند که کاهش‌های فعلی را دور می‌زند و به طور بالقوه منجر به تصاحب کامل حساب می‌شود.

مطالعات موردی: HotJar و Business Insider

تحقیقات Salt Labs بر اجرای دو شرکت برجسته متمرکز شده است: HotJar و Business Insider. این شرکت‌ها به دلیل موقعیت‌های امنیتی قابل‌توجه و مقدار قابل توجهی از اطلاعات شناسایی شخصی (PII) که در دست دارند، انتخاب شدند. اگر چنین شرکت‌های بزرگی بتوانند OAuth را به اشتباه پیاده‌سازی کنند ، احتمال خطاهای مشابه در وب‌سایت‌های کوچک‌تر و با منابع کمتر زیاد است. Yaniv Balmas، معاون تحقیقات Salt Security، فاش کرد که مسائل مشابه OAuth در وب‌سایت‌هایی از جمله Booking.com، Grammarly و OpenAI یافت شده است، اگرچه این موارد در گزارش گنجانده نشده است.

HotJar، به طور خاص، به دلیل اشباع گسترده بازار و حجم وسیعی از داده های کاربر که جمع آوری می کند، مورد توجه قرار گرفت. HotJar که مشابه Google Analytics عمل می کند، داده های جلسه کاربر، از جمله اسکرین شات، کلیک های صفحه کلید و اقدامات ماوس را ثبت می کند. این داده‌ها می‌توانند اطلاعات حساسی مانند نام، ایمیل، آدرس، پیام‌های خصوصی، جزئیات بانکی و اعتبارنامه را در بر گیرند. آسیب‌پذیری کشف‌شده به مهاجمان اجازه می‌دهد تا با جعل و رهگیری اسرار ورود، از فرآیند ورود اجتماعی OAuth سوء استفاده کنند و در نتیجه دسترسی غیرمجاز به حساب‌های کاربری به دست آورند.

روش شناسی حمله

روش حمله شامل ترکیب XSS با جریان ورود به سیستم OAuth است. یک پیوند ساخته‌شده با تقلید از درخواست ورود اجتماعی HotJar قانونی، حمله را آغاز می‌کند. هنگامی که قربانی روی این لینک کلیک می کند، مهاجم می تواند اسرار ورود را رهگیری کند و منجر به تصاحب کامل حساب شود. این آسیب‌پذیری بر اهمیت شیوه‌های پیاده‌سازی ایمن تأکید می‌کند، که بسیاری از وب‌سایت‌ها یا نادیده گرفته می‌شوند یا فاقد تخصص لازم برای اجرای آن هستند.

اقدامات و ابزارهای پیشگیرانه

در پاسخ به این یافته‌ها، Salt Labs متدولوژی‌های خود و یک ابزار اسکنر رایگان را برای کمک به اپراتورهای وب‌سایت در شناسایی و رسیدگی به مشکلات بالقوه اجرای OAuth XSS منتشر کرد. هدف این رویکرد پیشگیرانه کاهش خطرات قبل از تبدیل شدن به نقض های امنیتی قابل توجه است. در حالی که Balmas هشدار می دهد که موفقیت 100٪ قابل تضمین نیست، این ابزار یک سیستم هشدار اولیه ارزشمند را برای سازمان ها فراهم می کند تا موقعیت های امنیتی خود را تقویت کنند.

کشف آزمایشگاه Salt به عنوان یادآوری واضحی عمل می کند که حتی فناوری های قابل اعتمادی مانند OAuth نیاز به اجرای دقیق و ایمن دارند. همانطور که چشم انداز دیجیتال به تکامل خود ادامه می دهد، هوشیاری و تعهد ما به اقدامات امنیت سایبری قوی نیز باید ادامه یابد.