Nova XSS prijetnja iskorištava OAuth društvene prijave dovodeći u opasnost milijune web stranica
Salt Labs, istraživački ogranak API sigurnosne tvrtke Salt Security, nedavno je otkrio značajnu ranjivost cross-site scripting (XSS) koja ima potencijal utjecati na milijune web stranica diljem svijeta. Za razliku od ranjivosti proizvoda koja se može središnje zakrpati, ovaj problem proizlazi iz implementacije OAutha — široko korištene aplikacije za prijavu na društvene mreže — unutar web koda. Unatoč uobičajenom uvjerenju među programerima da su XSS prijetnje stvar prošlosti, nalazi Salt Labsa naglašavaju kritičan propust u web sigurnosti.
Sadržaj
Samozadovoljstvo familijarnosti
Lakoća implementacije OAutha za društvene prijave dovela je do osjećaja samozadovoljstva među programerima. Ovo poznavanje, međutim, može dovesti do značajnih pogrešaka. Temeljni problem leži u uvođenju nove tehnologije i procesa u postojeći ekosustav, koji mogu poremetiti uspostavljenu ravnotežu. Ovo nije greška u samom OAuth-u, već u načinu na koji se implementira na različitim web-mjestima. Salt Labs je otkrio da bez detaljne brige i strogosti upotreba OAutha može stvoriti novu XSS rutu koja zaobilazi trenutne mjere ublažavanja, što potencijalno dovodi do potpunog preuzimanja računa.
Studije slučaja: HotJar i Business Insider
Istraživanje Salt Labsa usredotočilo se na implementacije dviju istaknutih tvrtki: HotJar i Business Insider. Te su tvrtke odabrane zbog značajnih sigurnosnih stavova i značajne količine podataka koji otkrivaju identitet (PII) kojima rukuju. Ako takve velike tvrtke mogu pogrešno implementirati OAuth , velika je vjerojatnost da će manje web stranice s lošijim resursima napraviti slične pogreške. Yaniv Balmas, potpredsjednik istraživanja u Salt Securityju, otkrio je da su slični problemi s OAuthom pronađeni na web stranicama uključujući Booking.com, Grammarly i OpenAI, iako oni nisu uključeni u izvješće.
HotJar je posebno istaknut zbog velike zasićenosti tržišta i goleme količine korisničkih podataka koje prikuplja. Radeći slično Google Analyticsu, HotJar bilježi podatke o korisničkim sesijama, uključujući snimke zaslona, klikove tipkovnice i radnje mišem. Ovi podaci mogu uključivati osjetljive informacije poput imena, e-pošte, adresa, privatnih poruka, bankovnih podataka i vjerodajnica. Otkrivena ranjivost omogućuje napadačima da iskoriste OAuth proces društvene prijave lažiranjem i presretanjem tajni prijave, čime dobivaju neovlašteni pristup korisničkim računima.
Metodologija napada
Metoda napada uključuje kombiniranje XSS-a s OAuth tokom prijave. Izrađena veza koja oponaša legitiman zahtjev za prijavu na HotJar društvenoj mreži inicira napad. Kada žrtva klikne ovu vezu, napadač može presresti tajne za prijavu, što dovodi do potpunog preuzimanja računa. Ova ranjivost naglašava važnost praksi sigurne implementacije, koje mnoga web-mjesta ili zanemaruju ili im nedostaje stručnost za provođenje.
Proaktivne mjere i alati
Kao odgovor na ove nalaze, Salt Labs objavio je svoje metodologije i besplatni alat za skeniranje kako bi operaterima web stranica pomogao identificirati i riješiti potencijalne probleme s implementacijom OAuth XSS. Ovaj proaktivni pristup ima za cilj ublažiti rizike prije nego što prerastu u značajna kršenja sigurnosti. Dok Balmas upozorava da se ne može jamčiti stopostotni uspjeh, alat osigurava vrijedan sustav ranog upozorenja za organizacije kako bi ojačale svoje sigurnosne položaje.
Otkriće Salt Labsa služi kao jasan podsjetnik da čak i široko pouzdane tehnologije poput OAutha zahtijevaju marljivu i sigurnu implementaciju. Kako se digitalni krajolik nastavlja razvijati, tako mora rasti i naš oprez i predanost čvrstim praksama kibernetičke sigurnosti.