नयाँ XSS थ्रेटले OAuth सामाजिक लगइनहरूको शोषण गर्छ जसले लाखौं वेबसाइटहरूलाई जोखिममा राख्छ

एपीआई सेक्युरिटी फर्म साल्ट सेक्युरिटीको अनुसन्धान शाखा साल्ट ल्याब्सले भर्खरै एक महत्वपूर्ण क्रस-साइट स्क्रिप्टिङ (XSS) भेद्यता पत्ता लगाएको छ जसले विश्वव्यापी रूपमा लाखौं वेबसाइटहरूलाई असर गर्ने सम्भावना छ। केन्द्रीय रूपमा प्याच गर्न सकिने उत्पादन जोखिमको विपरीत, यो समस्या वेब कोड भित्र सामाजिक लगइनहरूका लागि व्यापक रूपमा प्रयोग हुने एप OAuth को कार्यान्वयनबाट उत्पन्न भएको हो। XSS खतराहरू विगतको कुरा हो भन्ने विकासकर्ताहरू बीचको साझा विश्वासको बावजुद, साल्ट ल्याबहरूको खोजहरूले वेब सुरक्षामा महत्त्वपूर्ण निरीक्षणलाई हाइलाइट गर्दछ।

परिचितताको सन्तुष्टता

सामाजिक लगइनहरूका लागि OAuth लागू गर्ने सहजताले विकासकर्ताहरू बीच सन्तुष्टिको भावना निम्त्याएको छ। तथापि, यो परिचितताले महत्त्वपूर्ण गल्तीहरू निम्त्याउन सक्छ। मौलिक मुद्दा विद्यमान पारिस्थितिकी तंत्रमा नयाँ प्रविधि र प्रक्रियाहरूको परिचयमा निहित छ, जसले स्थापित सन्तुलनमा बाधा पुर्‍याउन सक्छ। यो OAuth मा कुनै त्रुटि होइन, तर यसलाई विभिन्न वेबसाइटहरूमा कसरी लागू गरिन्छ। साल्ट ल्याबहरूले पत्ता लगायो कि सावधानीपूर्वक हेरचाह र कठोरता बिना, OAuth को प्रयोगले नयाँ XSS मार्ग सिर्जना गर्न सक्छ जसले हालको न्यूनीकरणहरूलाई बाइपास गर्दछ, सम्भावित रूपमा खाता टेकओभरहरू पूरा गर्न नेतृत्व गर्दछ।

केस स्टडीज: हटजार र बिजनेस इनसाइडर

साल्ट ल्याब्सको अनुसन्धान दुई प्रमुख फर्महरूद्वारा कार्यान्वयनमा केन्द्रित थियो: हटजार र बिजनेस इनसाइडर। यी कम्पनीहरू तिनीहरूको पर्याप्त सुरक्षा आसनहरू र तिनीहरूले ह्यान्डल गर्ने व्यक्तिगत रूपमा पहिचान योग्य जानकारी (PII) को महत्त्वपूर्ण मात्राको कारणले छनौट गरिएको थियो। यदि त्यस्ता ठूला फर्महरूले OAuth लाई गलत रूपमा लागू गर्न सक्छन् भने, साना, कम राम्रो स्रोत भएका वेबसाइटहरूले समान त्रुटिहरू गर्ने सम्भावना उच्च छ। साल्ट सेक्युरिटीमा अनुसन्धानका VP, यानिभ बालमासले खुलासा गरे कि समान OAuth मुद्दाहरू Booking.com, Grammarly, र OpenAI लगायत वेबसाइटहरूमा फेला परेका थिए, यद्यपि ती रिपोर्टमा समावेश गरिएको थिएन।

HotJar, विशेष गरी, यसको व्यापक बजार संतृप्ति र यसले सङ्कलन गर्ने प्रयोगकर्ता डेटाको विशाल मात्राको कारण हाइलाइट गरिएको थियो। गुगल एनालिटिक्स जस्तै काम गर्दै, HotJar स्क्रिनसटहरू, किबोर्ड क्लिकहरू, र माउस कार्यहरू सहित प्रयोगकर्ता सत्र डेटा रेकर्ड गर्दछ। यस डेटाले संवेदनशील जानकारीहरू समावेश गर्न सक्छ जस्तै नाम, इमेल, ठेगाना, निजी सन्देशहरू, बैंक विवरणहरू, र प्रमाणहरू। पत्ता लगाइएको जोखिमले आक्रमणकारीहरूलाई लगइन गोप्यहरू फोर्ज गरेर र अवरोध गरेर OAuth सामाजिक लगइन प्रक्रियाको शोषण गर्न अनुमति दिन्छ, जसले गर्दा प्रयोगकर्ता खाताहरूमा अनाधिकृत पहुँच प्राप्त हुन्छ।

आक्रमण विधि

आक्रमण विधिले XSS लाई OAuth लगइन प्रवाहसँग संयोजन गर्ने समावेश गर्दछ। वैध HotJar सामाजिक लगइन अनुरोधको नक्कल गर्ने एउटा शिल्प गरिएको लिङ्कले आक्रमण सुरु गर्छ। जब एक पीडितले यो लिङ्कमा क्लिक गर्दछ, आक्रमणकारीले लगइन गोप्यहरू रोक्न सक्छ, जसले पूर्ण खाता टेकओभर गर्न सक्छ। यो जोखिमले सुरक्षित कार्यान्वयन अभ्यासहरूको महत्त्वलाई जोड दिन्छ, जसलाई धेरै वेबसाइटहरूले या त बेवास्ता गर्छन् वा कार्यान्वयन गर्न विशेषज्ञताको अभाव छ।

सक्रिय उपाय र उपकरणहरू

यी खोजहरूको प्रतिक्रियामा, साल्ट ल्याब्सले वेबसाइट अपरेटरहरूलाई सम्भावित OAuth XSS कार्यान्वयन समस्याहरू पहिचान गर्न र सम्बोधन गर्न मद्दत गर्न आफ्नो विधिहरू र नि:शुल्क स्क्यानर उपकरण प्रकाशित गर्यो। यो सक्रिय दृष्टिकोणले महत्त्वपूर्ण सुरक्षा उल्लङ्घनहरूमा बढ्नु अघि जोखिमहरूलाई कम गर्ने लक्ष्य राख्छ। जबकि Balmas चेतावनी दिन्छ कि 100% सफलताको ग्यारेन्टी हुन सक्दैन, उपकरणले संगठनहरूलाई उनीहरूको सुरक्षा आसनलाई बलियो बनाउनको लागि एक मूल्यवान प्रारम्भिक चेतावनी प्रणाली प्रदान गर्दछ।

साल्ट ल्याब्सले गरेको खोजले OAuth जस्ता व्यापक रूपमा भरपर्दो प्रविधिहरूलाई पनि लगनशील र सुरक्षित कार्यान्वयनको आवश्यकता छ भनी स्पष्ट रिमाइन्डरको रूपमा काम गर्दछ। जसरी डिजिटल ल्यान्डस्केप विकसित हुँदै गइरहेको छ, त्यसैगरी साइबर सुरक्षा अभ्यासहरूका लागि हाम्रो सतर्कता र प्रतिबद्धता पनि हुनुपर्छ।