नया XSS खतरा OAuth सोशल लॉगिन का फायदा उठाकर लाखों वेबसाइट को खतरे में डाल रहा है
एपीआई सुरक्षा फर्म साल्ट सिक्योरिटी की शोध शाखा साल्ट लैब्स ने हाल ही में एक महत्वपूर्ण क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता की खोज की है, जो वैश्विक स्तर पर लाखों वेबसाइटों को प्रभावित करने की क्षमता रखती है। एक उत्पाद भेद्यता के विपरीत जिसे केंद्रीय रूप से पैच किया जा सकता है, यह समस्या वेब कोड के भीतर OAuth-सोशल लॉगिन के लिए व्यापक रूप से उपयोग किए जाने वाले ऐप-के कार्यान्वयन से उत्पन्न होती है। डेवलपर्स के बीच आम धारणा के बावजूद कि XSS खतरे अतीत की बात हैं, साल्ट लैब्स के निष्कर्ष वेब सुरक्षा में एक महत्वपूर्ण चूक को उजागर करते हैं।
विषयसूची
परिचित होने की आत्मसंतुष्टि
सामाजिक लॉगिन के लिए OAuth को लागू करने में आसानी ने डेवलपर्स के बीच आत्मसंतुष्टि की भावना को जन्म दिया है। हालाँकि, यह परिचितता महत्वपूर्ण गलतियों को जन्म दे सकती है। मूल समस्या मौजूदा पारिस्थितिकी तंत्र में नई तकनीक और प्रक्रियाओं की शुरूआत में निहित है, जो स्थापित संतुलन को बाधित कर सकती है। यह OAuth में ही दोष नहीं है, बल्कि यह विभिन्न वेबसाइटों पर इसे कैसे लागू किया जाता है, इसमें दोष है। साल्ट लैब्स ने पाया कि सावधानीपूर्वक देखभाल और कठोरता के बिना, OAuth का उपयोग एक नया XSS मार्ग बना सकता है जो वर्तमान शमन को दरकिनार कर देता है, जिससे संभावित रूप से पूरा खाता अधिग्रहण हो सकता है।
केस स्टडीज: हॉटजार और बिजनेस इनसाइडर
साल्ट लैब्स के शोध ने दो प्रमुख फर्मों द्वारा कार्यान्वयन पर ध्यान केंद्रित किया: हॉटजार और बिजनेस इनसाइडर। इन कंपनियों को उनके पर्याप्त सुरक्षा पदों और उनके द्वारा संभाली जाने वाली व्यक्तिगत पहचान योग्य जानकारी (PII) की महत्वपूर्ण मात्रा के कारण चुना गया था। यदि ऐसी प्रमुख फर्म OAuth को गलत तरीके से लागू कर सकती हैं, तो छोटी, कम संसाधन वाली वेबसाइटों द्वारा समान त्रुटियाँ करने की संभावना अधिक है। साल्ट सिक्योरिटी में शोध के उपाध्यक्ष यानिव बालमास ने खुलासा किया कि Booking.com, Grammarly और OpenAI सहित वेबसाइटों में समान OAuth समस्याएँ पाई गईं, हालाँकि इन्हें रिपोर्ट में शामिल नहीं किया गया था।
हॉटजार, विशेष रूप से, अपने व्यापक बाजार संतृप्ति और इसके द्वारा एकत्र किए जाने वाले उपयोगकर्ता डेटा की विशाल मात्रा के कारण हाइलाइट किया गया था। Google Analytics के समान संचालन करते हुए, हॉटजार उपयोगकर्ता सत्र डेटा रिकॉर्ड करता है, जिसमें स्क्रीनशॉट, कीबोर्ड क्लिक और माउस क्रियाएं शामिल हैं। इस डेटा में नाम, ईमेल, पते, निजी संदेश, बैंक विवरण और क्रेडेंशियल जैसी संवेदनशील जानकारी शामिल हो सकती है। खोजी गई भेद्यता हमलावरों को लॉगिन रहस्यों को जाली और बाधित करके OAuth सामाजिक लॉगिन प्रक्रिया का फायदा उठाने की अनुमति देती है, जिससे उपयोगकर्ता खातों तक अनधिकृत पहुंच प्राप्त होती है।
हमले की कार्यप्रणाली
हमले की विधि में XSS को OAuth लॉगिन प्रवाह के साथ संयोजित करना शामिल है। एक वैध HotJar सोशल लॉगिन अनुरोध की नकल करने वाला एक तैयार किया गया लिंक हमले की शुरुआत करता है। जब कोई पीड़ित इस लिंक पर क्लिक करता है, तो हमलावर लॉगिन रहस्यों को रोक सकता है, जिससे पूरा खाता अपने कब्जे में ले सकता है। यह भेद्यता सुरक्षित कार्यान्वयन प्रथाओं के महत्व को रेखांकित करती है, जिसे कई वेबसाइटें या तो अनदेखा कर देती हैं या निष्पादित करने के लिए विशेषज्ञता की कमी होती है।
सक्रिय उपाय और उपकरण
इन निष्कर्षों के जवाब में, साल्ट लैब्स ने अपनी कार्यप्रणाली और एक निःशुल्क स्कैनर टूल प्रकाशित किया, ताकि वेबसाइट संचालकों को संभावित OAuth XSS कार्यान्वयन समस्याओं की पहचान करने और उनका समाधान करने में मदद मिल सके। इस सक्रिय दृष्टिकोण का उद्देश्य जोखिमों को कम करना है, इससे पहले कि वे महत्वपूर्ण सुरक्षा उल्लंघनों में बदल जाएं। जबकि बाल्मास ने चेतावनी दी है कि 100% सफलता की गारंटी नहीं दी जा सकती है, यह टूल संगठनों को उनकी सुरक्षा स्थितियों को मजबूत करने के लिए एक मूल्यवान प्रारंभिक चेतावनी प्रणाली प्रदान करता है।
साल्ट लैब्स की यह खोज इस बात की याद दिलाती है कि OAuth जैसी व्यापक रूप से विश्वसनीय तकनीकों को भी मेहनती और सुरक्षित कार्यान्वयन की आवश्यकता होती है। जैसे-जैसे डिजिटल परिदृश्य विकसित होता जा रहा है, वैसे-वैसे हमें मजबूत साइबर सुरक्षा प्रथाओं के प्रति सतर्कता और प्रतिबद्धता भी बढ़ानी होगी।