ការគំរាមកំហែង XSS ថ្មី កេងប្រវ័ញ្ចការចូលសង្គម OAuth ធ្វើឱ្យគេហទំព័ររាប់លានមានហានិភ័យ
Salt Labs ដែលជាដៃស្រាវជ្រាវរបស់ក្រុមហ៊ុនសន្តិសុខ API Salt Security ថ្មីៗនេះបានរកឃើញ ភាពងាយរងគ្រោះ នៃការសរសេរស្គ្រីបឆ្លងគេហទំព័រ (XSS) ដែលមានសក្តានុពលប៉ះពាល់ដល់គេហទំព័ររាប់លាននៅទូទាំងពិភពលោក។ មិនដូចភាពងាយរងគ្រោះរបស់ផលិតផលដែលអាចត្រូវបានបំណះកណ្តាលទេ បញ្ហានេះកើតចេញពីការអនុវត្ត OAuth ដែលជាកម្មវិធីដែលប្រើយ៉ាងទូលំទូលាយសម្រាប់ការចូលសង្គមនៅក្នុងកូដគេហទំព័រ។ ទោះបីជាមានជំនឿទូទៅក្នុងចំណោមអ្នកអភិវឌ្ឍន៍ថាការគំរាមកំហែង XSS គឺជារឿងអតីតកាលក៏ដោយ ការរកឃើញរបស់ Salt Labs បង្ហាញពីការត្រួតពិនិត្យយ៉ាងសំខាន់ក្នុងសុវត្ថិភាពគេហទំព័រ។
តារាងមាតិកា
ភាពរីករាយនៃភាពស្គាល់
ភាពងាយស្រួលនៃការអនុវត្ត OAuth សម្រាប់ការចូលសង្គមបាននាំឱ្យមានអារម្មណ៍មិនសប្បាយចិត្តក្នុងចំណោមអ្នកអភិវឌ្ឍន៍។ ទោះជាយ៉ាងណាក៏ដោយ ភាពស្គាល់គ្នានេះអាចនាំឱ្យមានកំហុសឆ្គងសំខាន់ៗ។ បញ្ហាជាមូលដ្ឋានគឺនៅក្នុងការណែនាំនៃបច្ចេកវិទ្យា និងដំណើរការថ្មីទៅក្នុងប្រព័ន្ធអេកូដែលមានស្រាប់ ដែលអាចរំខានដល់លំនឹងដែលបានបង្កើតឡើង។ នេះមិនមែនជាកំហុសនៅក្នុង OAuth ខ្លួនវាទេ ប៉ុន្តែនៅក្នុងរបៀបដែលវាត្រូវបានអនុវត្តតាមគេហទំព័រផ្សេងៗ។ Salt Labs បានរកឃើញថា ដោយគ្មានការថែទាំ និងភាពម៉ត់ចត់ ការប្រើប្រាស់ OAuth អាចបង្កើតផ្លូវ XSS ថ្មីដែលឆ្លងកាត់ការកាត់បន្ថយបច្ចុប្បន្ន ដែលនាំឱ្យមានការកាន់កាប់គណនីពេញលេញ។
ករណីសិក្សា៖ HotJar និង Business Insider
ការស្រាវជ្រាវរបស់ Salt Labs ផ្តោតលើការអនុវត្តដោយក្រុមហ៊ុនលេចធ្លោពីរគឺ HotJar និង Business Insider ។ ក្រុមហ៊ុនទាំងនេះត្រូវបានជ្រើសរើសដោយសារតែឥរិយាបថសុវត្ថិភាពដ៏ច្រើនរបស់ពួកគេ និងចំនួនដ៏ច្រើននៃព័ត៌មានដែលអាចកំណត់អត្តសញ្ញាណផ្ទាល់ខ្លួន (PII) ដែលពួកគេគ្រប់គ្រង។ ប្រសិនបើក្រុមហ៊ុនធំៗបែបនេះអាច អនុវត្ត OAuth ខុស លទ្ធភាពនៃគេហទំព័រតូចៗ និងមិនសូវមានធនធានល្អដែលបង្កើតកំហុសស្រដៀងគ្នានេះគឺខ្ពស់។ Yaniv Balmas អនុប្រធានផ្នែកស្រាវជ្រាវនៅ Salt Security បានបង្ហាញថាបញ្ហា OAuth ស្រដៀងគ្នានេះត្រូវបានរកឃើញនៅក្នុងគេហទំព័ររួមមាន Booking.com, Grammarly និង OpenAI ទោះបីជាទាំងនេះមិនត្រូវបានរួមបញ្ចូលនៅក្នុងរបាយការណ៍ក៏ដោយ។
ជាពិសេស HotJar ត្រូវបានគូសបញ្ជាក់ដោយសារតែការតិត្ថិភាពទីផ្សារយ៉ាងទូលំទូលាយ និងទិន្នន័យអ្នកប្រើប្រាស់ដ៏ច្រើនដែលវាប្រមូលបាន។ ប្រតិបត្តិការស្រដៀងគ្នាទៅនឹង Google Analytics HotJar កត់ត្រាទិន្នន័យសម័យអ្នកប្រើប្រាស់ រួមទាំងរូបថតអេក្រង់ ការចុចក្តារចុច និងសកម្មភាពកណ្តុរ។ ទិន្នន័យនេះអាចរួមបញ្ចូលព័ត៌មានរសើបដូចជាឈ្មោះ អ៊ីមែល អាសយដ្ឋាន សារឯកជន ព័ត៌មានលម្អិតអំពីធនាគារ និងព័ត៌មានសម្ងាត់។ ភាពងាយរងគ្រោះដែលបានរកឃើញអនុញ្ញាតឱ្យអ្នកវាយប្រហារទាញយកដំណើរការចូលសង្គម OAuth ដោយការក្លែងបន្លំ និងស្ទាក់ចាប់អាថ៌កំបាំងនៃការចូល ដោយហេតុនេះការទទួលបានសិទ្ធិចូលប្រើគណនីអ្នកប្រើប្រាស់ដោយគ្មានការអនុញ្ញាត។
វិធីសាស្រ្តនៃការវាយប្រហារ
វិធីសាស្ត្រវាយប្រហារពាក់ព័ន្ធនឹងការរួមបញ្ចូល XSS ជាមួយនឹងលំហូរចូល OAuth ។ តំណភ្ជាប់ដែលបង្កើតដោយធ្វើត្រាប់តាមសំណើចូលសង្គម HotJar ស្របច្បាប់ចាប់ផ្តើមការវាយប្រហារ។ នៅពេលដែលជនរងគ្រោះចុចលើតំណភ្ជាប់នេះ អ្នកវាយប្រហារអាចស្ទាក់ចាប់អាថ៌កំបាំងនៃការចូល ដែលនាំទៅដល់ការកាន់កាប់គណនីពេញលេញ។ ភាពងាយរងគ្រោះនេះគូសបញ្ជាក់ពីសារៈសំខាន់នៃការអនុវត្តការអនុវត្តប្រកបដោយសុវត្ថិភាព ដែលគេហទំព័រជាច្រើនមើលរំលង ឬខ្វះជំនាញក្នុងការអនុវត្ត។
វិធានការ និងឧបករណ៍សកម្ម
ជាការឆ្លើយតបទៅនឹងការរកឃើញទាំងនេះ Salt Labs បានបោះពុម្ពផ្សាយវិធីសាស្រ្តរបស់ខ្លួន និងឧបករណ៍ស្កែនឥតគិតថ្លៃ ដើម្បីជួយប្រតិបត្តិករគេហទំព័រកំណត់អត្តសញ្ញាណ និងដោះស្រាយបញ្ហាការអនុវត្ត OAuth XSS ដែលអាចកើតមាន។ វិធីសាស្រ្តសកម្មនេះមានគោលបំណងកាត់បន្ថយហានិភ័យ មុនពេលពួកវាកើនឡើងដល់ការរំលោភលើសុវត្ថិភាពសំខាន់ៗ។ ខណៈពេលដែល Balmas ព្រមានថាភាពជោគជ័យ 100% មិនអាចធានាបាន ឧបករណ៍នេះផ្តល់នូវប្រព័ន្ធព្រមានជាមុនដ៏មានតម្លៃសម្រាប់អង្គការនានាដើម្បីពង្រឹងឥរិយាបថសុវត្ថិភាពរបស់ពួកគេ។
ការរកឃើញដោយ Salt Labs បម្រើជាការរំលឹកយ៉ាងមុតមាំថា សូម្បីតែបច្ចេកវិទ្យាដែលអាចជឿទុកចិត្តបានយ៉ាងទូលំទូលាយដូចជា OAuth ទាមទារការអនុវត្តដោយឧស្សាហ៍ព្យាយាម និងមានសុវត្ថិភាព។ នៅពេលដែលទិដ្ឋភាពឌីជីថលបន្តវិវឌ្ឍ ដូច្នេះក៏ត្រូវតែមានការប្រុងប្រយ័ត្ន និងការប្តេជ្ញាចិត្តរបស់យើងចំពោះការអនុវត្តសុវត្ថិភាពអ៊ីនធឺណិតដ៏រឹងមាំផងដែរ។