Ancaman XSS Baharu Memanfaatkan Log Masuk Sosial OAuth Meletakkan Berjuta-juta Tapak Web Berisiko
Salt Labs, cabang penyelidikan firma keselamatan API Salt Security, baru-baru ini menemui kelemahan penskripan silang tapak (XSS) yang ketara yang berpotensi menjejaskan berjuta-juta tapak web di seluruh dunia. Tidak seperti kerentanan produk yang boleh ditampal secara berpusat, isu ini berpunca daripada pelaksanaan OAuth—apl yang digunakan secara meluas untuk log masuk sosial—dalam kod web. Walaupun terdapat kepercayaan umum di kalangan pembangun bahawa ancaman XSS sudah lama berlalu, penemuan Salt Labs menyerlahkan pengawasan kritikal dalam keselamatan web.
Isi kandungan
Kepuasan Keakraban
Kemudahan melaksanakan OAuth untuk log masuk sosial telah membawa kepada rasa puas hati dalam kalangan pembangun. Walau bagaimanapun, kebiasaan ini boleh membawa kepada kesilapan yang ketara. Isu asasnya terletak pada pengenalan teknologi dan proses baharu ke dalam ekosistem sedia ada, yang boleh mengganggu keseimbangan yang telah ditetapkan. Ini bukan kecacatan dalam OAuth sendiri, tetapi dalam cara ia dilaksanakan merentas pelbagai tapak web. Salt Labs mendapati bahawa tanpa penjagaan dan ketelitian yang teliti, penggunaan OAuth boleh mencipta laluan XSS baharu yang memintas pengurangan semasa, yang berpotensi membawa kepada melengkapkan pengambilalihan akaun.
Kajian Kes: HotJar dan Business Insider
Penyelidikan Salt Labs tertumpu pada pelaksanaan oleh dua firma terkemuka: HotJar dan Business Insider. Syarikat-syarikat ini dipilih kerana postur keselamatan mereka yang besar dan jumlah maklumat pengenalan peribadi (PII) yang besar yang mereka kendalikan. Jika firma utama sedemikian boleh salah melaksanakan OAuth , kemungkinan tapak web yang lebih kecil dan kurang sumber daya membuat ralat yang serupa adalah tinggi. Yaniv Balmas, VP penyelidikan di Salt Security, mendedahkan bahawa isu OAuth yang serupa ditemui dalam tapak web termasuk Booking.com, Grammarly dan OpenAI, walaupun ini tidak disertakan dalam laporan.
HotJar, khususnya, telah diserlahkan kerana ketepuan pasarannya yang meluas dan sejumlah besar data pengguna yang dikumpulnya. Beroperasi serupa dengan Analitis Google, HotJar merekodkan data sesi pengguna, termasuk tangkapan skrin, klik papan kekunci dan tindakan tetikus. Data ini boleh merangkumi maklumat sensitif seperti nama, e-mel, alamat, mesej peribadi, butiran bank dan bukti kelayakan. Kerentanan yang ditemui membolehkan penyerang mengeksploitasi proses log masuk sosial OAuth dengan memalsukan dan memintas rahsia log masuk, dengan itu memperoleh akses tanpa kebenaran kepada akaun pengguna.
Kaedah Serangan
Kaedah serangan melibatkan menggabungkan XSS dengan aliran log masuk OAuth. Pautan yang dibuat meniru permintaan log masuk sosial HotJar yang sah memulakan serangan. Apabila mangsa mengklik pautan ini, penyerang boleh memintas rahsia log masuk, yang membawa kepada pengambilalihan akaun penuh. Kerentanan ini menekankan kepentingan amalan pelaksanaan selamat, yang mana banyak tapak web sama ada terlepas pandang atau kekurangan kepakaran untuk dilaksanakan.
Langkah dan Alat Proaktif
Sebagai tindak balas kepada penemuan ini, Salt Labs menerbitkan metodologinya dan alat pengimbas percuma untuk membantu pengendali tapak web mengenal pasti dan menangani isu pelaksanaan OAuth XSS yang berpotensi. Pendekatan proaktif ini bertujuan untuk mengurangkan risiko sebelum ia meningkat kepada pelanggaran keselamatan yang ketara. Walaupun Balmas memberi amaran bahawa 100% kejayaan tidak dapat dijamin, alat itu menyediakan sistem amaran awal yang berharga untuk organisasi untuk mengukuhkan postur keselamatan mereka.
Penemuan oleh Salt Labs berfungsi sebagai peringatan yang jelas bahawa walaupun teknologi yang dipercayai secara meluas seperti OAuth memerlukan pelaksanaan yang teliti dan selamat. Memandangkan landskap digital terus berkembang, begitu juga dengan kewaspadaan dan komitmen kita terhadap amalan keselamatan siber yang teguh.