Az új XSS fenyegetés kihasználja az OAuth közösségi bejelentkezéseket, és webhelyek millióit teszi veszélybe
A Salt Labs, a Salt Security API biztonsági cég kutatócsoportja a közelmúltban fedezett fel egy jelentős cross-site scripting (XSS) biztonsági rést , amely webhelyek millióit érintheti világszerte. A központilag javítható terméksérülékenységgel ellentétben ez a probléma az OAuth – egy közösségi bejelentkezésekhez széles körben használt alkalmazás – webes kódon belüli megvalósításából ered. Annak ellenére, hogy a fejlesztők úgy vélik, hogy az XSS fenyegetések a múlté, a Salt Labs eredményei rávilágítanak a webbiztonság kritikus felügyeletére.
Tartalomjegyzék
Az ismerősség önelégültsége
Az OAuth egyszerű bevezetése a közösségi bejelentkezésekhez önelégültség érzéséhez vezetett a fejlesztők körében. Ez az ismeretség azonban jelentős hibákhoz vezethet. Az alapvető kérdés az új technológia és folyamatok bevezetése egy meglévő ökoszisztémába, amely felboríthatja a kialakult egyensúlyt. Ez nem magának az OAuthnak a hibája, hanem a különféle webhelyeken való megvalósításában. A Salt Labs felfedezte, hogy aprólékos odafigyelés és szigorúság nélkül az OAuth használata új XSS-útvonalat hozhat létre, amely megkerüli a jelenlegi enyhítéseket, és potenciálisan teljes fiókátvételhez vezethet.
Esettanulmányok: HotJar és Business Insider
A Salt Labs kutatása két prominens cég, a HotJar és a Business Insider implementációira összpontosított. Ezeket a cégeket jelentős biztonsági helyzetük és az általuk kezelt személyazonosításra alkalmas információ (PII) jelentős mennyisége miatt választották ki. Ha az ilyen nagy cégek rosszul alkalmazzák az OAuth-t , akkor nagy a valószínűsége annak, hogy a kisebb, kevésbé jó forrásokkal rendelkező webhelyek hasonló hibákat követnek el. Yaniv Balmas, a Salt Security kutatási alelnöke feltárta, hogy hasonló OAuth-problémákat találtak olyan webhelyeken, mint a Booking.com, a Grammarly és az OpenAI, bár ezek nem szerepeltek a jelentésben.
A HotJar különösen a piac kiterjedt telítettsége és az általa gyűjtött nagy mennyiségű felhasználói adat miatt került kiemelésre. A Google Analytics-hez hasonlóan működő HotJar rögzíti a felhasználói munkamenetek adatait, beleértve a képernyőképeket, a billentyűzetkattintásokat és az egérműveleteket. Ezek az adatok érzékeny információkat tartalmazhatnak, például neveket, e-maileket, címeket, privát üzeneteket, banki adatokat és hitelesítő adatokat. A felfedezett biztonsági rés lehetővé teszi a támadók számára, hogy kihasználják az OAuth közösségi bejelentkezési folyamatot bejelentkezési titkok meghamisításával és elfogásával, ezáltal jogosulatlan hozzáférést szerezve felhasználói fiókokhoz.
A támadás módszertana
A támadási módszer magában foglalja az XSS és az OAuth bejelentkezési folyamat kombinálását. Egy legitim HotJar közösségi bejelentkezési kérelmet utánzó kialakított hivatkozás indítja el a támadást. Amikor egy áldozat rákattint erre a linkre, a támadó elkaphatja a bejelentkezési titkokat, ami a fiók teljes átvételéhez vezet. Ez a sérülékenység rávilágít a biztonságos megvalósítási gyakorlatok fontosságára, amelyeket sok webhely figyelmen kívül hagy, vagy nem rendelkezik megfelelő szakértelemmel a végrehajtásához.
Proaktív intézkedések és eszközök
Válaszul ezekre a megállapításokra, a Salt Labs közzétette módszertanát és egy ingyenes szkennereszközt, amely segít a webhelyek üzemeltetőinek azonosítani és kezelni a lehetséges OAuth XSS megvalósítási problémákat. Ennek a proaktív megközelítésnek a célja a kockázatok mérséklése, mielőtt azok jelentős biztonsági megsértésekké fajulnának. Míg a Balmas felhívja a figyelmet arra, hogy a 100%-os siker nem garantálható, az eszköz értékes korai figyelmeztető rendszert biztosít a szervezetek számára, hogy megerősítsék biztonsági helyzetüket.
A Salt Labs felfedezése határozottan emlékeztet arra, hogy még az olyan széles körben megbízható technológiáknak is, mint az OAuth, gondos és biztonságos megvalósításra van szükség. Ahogy a digitális környezet folyamatosan fejlődik, éberségünknek és elkötelezettségünknek is meg kell erősödnie a robusztus kiberbiztonsági gyakorlatok mellett.