Jauns XSS drauds izmanto OAuth sociālos pieteikšanās datus, pakļaujot riskam miljoniem vietņu
Salt Labs, API drošības firmas Salt Security pētniecības grupa, nesen ir atklājusi nozīmīgu starpvietņu skriptēšanas (XSS) ievainojamību , kas var ietekmēt miljoniem vietņu visā pasaulē. Atšķirībā no produkta ievainojamības, ko var centralizēti labot, šī problēma rodas no OAuth — plaši izmantotas sociālās pieteikšanās lietotnes — ieviešanas tīmekļa kodā. Neraugoties uz izstrādātāju izplatīto pārliecību, ka XSS draudi ir pagātne, Salt Labs atklājumi izceļ kritisku tīmekļa drošības pārraudzību.
Satura rādītājs
Iepazīšanās pašapmierinātība
Vienkāršā OAuth ieviešana sociālajiem pieteikumiem ir radījusi izstrādātāju pašapmierinātību. Tomēr šī iepazīšanās var novest pie būtiskām kļūdām. Pamatproblēma ir jaunu tehnoloģiju un procesu ieviešana esošajā ekosistēmā, kas var izjaukt izveidoto līdzsvaru. Tas nav OAuth trūkums, bet gan tas, kā tas tiek ieviests dažādās vietnēs. Salt Labs atklāja, ka bez rūpīgas rūpības un stingrības OAuth izmantošana var izveidot jaunu XSS maršrutu, kas apiet pašreizējos mazināšanas pasākumus, potenciāli novedot pie pilnīgas konta pārņemšanas.
Gadījumu izpēte: HotJar un Business Insider
Salt Labs pētījumi koncentrējās uz divu ievērojamu firmu ieviešanu: HotJar un Business Insider. Šie uzņēmumi tika izvēlēti, ņemot vērā to ievērojamās drošības pozīcijas un ievērojamo personu identificējošās informācijas (PII), ko tie apstrādā. Ja šādas lielas firmas var nepareizi ieviest OAuth , liela iespēja, ka mazākas, mazāk nodrošinātas vietnes pieļaus līdzīgas kļūdas. Yaniv Balmas, Salt Security pētniecības viceprezidents, atklāja, ka līdzīgas OAuth problēmas tika konstatētas vietnēs, tostarp vietnēs Booking.com, Grammarly un OpenAI, lai gan tās nebija iekļautas ziņojumā.
Jo īpaši HotJar tika izcelts, pateicoties tā plašajam tirgus piesātinājumam un lielajam lietotāju datu apjomam, ko tas apkopo. Darbojoties līdzīgi kā Google Analytics, HotJar reģistrē lietotāja sesiju datus, tostarp ekrānuzņēmumus, tastatūras klikšķus un peles darbības. Šie dati var ietvert sensitīvu informāciju, piemēram, vārdus, e-pastus, adreses, privātas ziņas, bankas datus un akreditācijas datus. Atklātā ievainojamība ļauj uzbrucējiem izmantot OAuth sociālās pieteikšanās procesu, viltojot un pārtverot pieteikšanās noslēpumus, tādējādi iegūstot nesankcionētu piekļuvi lietotāju kontiem.
Uzbrukuma metodoloģija
Uzbrukuma metode ietver XSS apvienošanu ar OAuth pieteikšanās plūsmu. Uzbrukumu ierosina izveidota saite, kas atdarina likumīgu HotJar sociālās pieteikšanās pieprasījumu. Kad upuris noklikšķina uz šīs saites, uzbrucējs var pārtvert pieteikšanās noslēpumus, izraisot pilnīgu konta pārņemšanu. Šī ievainojamība uzsver drošas ieviešanas prakses nozīmi, kuras izpildei daudzas vietnes vai nu neievēro, vai arī tām trūkst zināšanu.
Proaktīvi pasākumi un rīki
Reaģējot uz šiem atklājumiem, Salt Labs publicēja savu metodiku un bezmaksas skenera rīku, lai palīdzētu vietņu operatoriem identificēt un risināt iespējamās OAuth XSS ieviešanas problēmas. Šīs proaktīvās pieejas mērķis ir mazināt riskus, pirms tie pārvēršas nozīmīgos drošības pārkāpumos. Lai gan Balmas brīdina, ka 100% panākumus nevar garantēt, rīks nodrošina vērtīgu agrīnās brīdināšanas sistēmu organizācijām, lai stiprinātu savas drošības pozīcijas.
Salt Labs atklājums kalpo kā spilgts atgādinājums, ka pat tādām plaši uzticamām tehnoloģijām kā OAuth ir nepieciešama rūpīga un droša ieviešana. Tā kā digitālā ainava turpina attīstīties, arī mūsu modrībai un apņemšanās ievērot spēcīgu kiberdrošības praksi ir jābūt.