Naujoji XSS grėsmė išnaudoja OAuth socialinius prisijungimus, kelia pavojų milijonams svetainių
„Salt Labs“, API saugos įmonės „Salt Security“ tyrimų padalinys, neseniai atrado reikšmingą kryžminio scenarijaus (XSS) pažeidžiamumą , kuris gali paveikti milijonus svetainių visame pasaulyje. Skirtingai nuo produkto pažeidžiamumo, kurį galima pataisyti centralizuotai, ši problema kyla dėl OAuth – plačiai naudojamos socialinių prisijungimų programos – įdiegimo žiniatinklio kode. Nepaisant bendro kūrėjų įsitikinimo, kad XSS grėsmės yra praeities dalykas, „Salt Labs“ išvados pabrėžia esminę žiniatinklio saugumo priežiūrą.
Turinys
Susipažinimo pasitenkinimas
Lengvas OAuth diegimas socialiniams prisijungimams sukėlė kūrėjų pasitenkinimo jausmą. Tačiau toks pažinimas gali sukelti didelių klaidų. Esminė problema yra naujų technologijų ir procesų įdiegimas į esamą ekosistemą, kuris gali sutrikdyti nusistovėjusią pusiausvyrą. Tai ne pačios OAuth trūkumas, o tai, kaip jis įdiegtas įvairiose svetainėse. „Salt Labs“ išsiaiškino, kad be kruopštaus priežiūros ir kruopštumo naudojant „OAuth“ galima sukurti naują XSS maršrutą, kuris apeina dabartines švelninimo priemones, o tai gali lemti visišką paskyros perėmimą.
Atvejo analizės: „HotJar“ ir „Business Insider“.
„Salt Labs“ tyrimas buvo sutelktas į dviejų žinomų firmų: „HotJar“ ir „Business Insider“ įgyvendinimą. Šios įmonės buvo pasirinktos dėl didelių saugumo pozicijų ir didelio asmenį identifikuojančios informacijos (PII), kurią jos tvarko, kiekio. Jei tokios didelės įmonės gali netinkamai įdiegti OAuth , didelė tikimybė, kad mažesnės, mažiau išteklių turinčios svetainės padarys panašių klaidų. Yaniv Balmas, „Salt Security“ tyrimų viceprezidentas, atskleidė, kad panašios „OAuth“ problemos buvo aptiktos svetainėse, įskaitant Booking.com, Grammarly ir OpenAI, nors jos nebuvo įtrauktos į ataskaitą.
Visų pirma „HotJar“ buvo pabrėžtas dėl didelio rinkos prisotinimo ir didžiulio renkamų naudotojų duomenų kiekio. Veikdamas panašiai kaip „Google Analytics“, „HotJar“ įrašo vartotojo seanso duomenis, įskaitant ekrano kopijas, klaviatūros paspaudimus ir pelės veiksmus. Šie duomenys gali apimti neskelbtiną informaciją, pvz., vardus, el. pašto adresus, asmeninius pranešimus, banko duomenis ir kredencialus. Aptiktas pažeidžiamumas leidžia užpuolikams išnaudoti „OAuth“ socialinio prisijungimo procesą, klastodami ir perimdami prisijungimo paslaptis, taip įgydami neteisėtą prieigą prie vartotojų paskyrų.
Atakos metodika
Atakos metodas apima XSS derinimą su OAuth prisijungimo srautu. Sukurta nuoroda, imituojanti teisėtą „HotJar“ socialinio prisijungimo užklausą, inicijuoja ataką. Kai auka spusteli šią nuorodą, užpuolikas gali perimti prisijungimo paslaptis ir visiškai perimti paskyrą. Šis pažeidžiamumas pabrėžia saugaus diegimo praktikos svarbą, kurią daugelis svetainių nepastebi arba stokoja patirties.
Aktyvios priemonės ir įrankiai
Reaguodama į šias išvadas, „Salt Labs“ paskelbė savo metodikas ir nemokamą skaitytuvo įrankį, padedantį svetainių operatoriams nustatyti ir spręsti galimas „OAuth XSS“ diegimo problemas. Šiuo iniciatyviu metodu siekiama sumažinti riziką, kol ji neperauga į reikšmingus saugumo pažeidimus. Nors „Balmas“ įspėja, kad 100% sėkmės garantuoti negalima, įrankis suteikia vertingą išankstinio įspėjimo sistemą organizacijoms, kad jos sustiprintų savo saugumo pozicijas.
„Salt Labs“ atradimas yra ryškus priminimas, kad net tokios plačiai patikimos technologijos kaip „OAuth“ reikalauja kruopštaus ir saugaus diegimo. Skaitmeniniam kraštovaizdžiui toliau tobulėjant, taip pat turi būti budrūs ir įsipareigoję laikytis tvirtos kibernetinio saugumo praktikos.