ਨਵੀਂ XSS ਧਮਕੀ OAuth ਸੋਸ਼ਲ ਲੌਗਇਨਾਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੀ ਹੈ ਜੋ ਲੱਖਾਂ ਵੈਬਸਾਈਟਾਂ ਨੂੰ ਜੋਖਮ ਵਿੱਚ ਪਾਉਂਦੀ ਹੈ
ਸਾਲਟ ਲੈਬਜ਼, API ਸੁਰੱਖਿਆ ਫਰਮ ਸਾਲਟ ਸੁਰੱਖਿਆ ਦੀ ਖੋਜ ਬਾਂਹ, ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਕਰਾਸ-ਸਾਈਟ ਸਕ੍ਰਿਪਟਿੰਗ (XSS) ਕਮਜ਼ੋਰੀ ਦੀ ਖੋਜ ਕੀਤੀ ਹੈ ਜਿਸ ਵਿੱਚ ਵਿਸ਼ਵ ਪੱਧਰ 'ਤੇ ਲੱਖਾਂ ਵੈੱਬਸਾਈਟਾਂ ਨੂੰ ਪ੍ਰਭਾਵਿਤ ਕਰਨ ਦੀ ਸਮਰੱਥਾ ਹੈ। ਇੱਕ ਉਤਪਾਦ ਕਮਜ਼ੋਰੀ ਦੇ ਉਲਟ ਜਿਸਨੂੰ ਕੇਂਦਰੀ ਤੌਰ 'ਤੇ ਪੈਚ ਕੀਤਾ ਜਾ ਸਕਦਾ ਹੈ, ਇਹ ਮੁੱਦਾ ਵੈਬ ਕੋਡ ਦੇ ਅੰਦਰ-ਸਮਾਜਿਕ ਲੌਗਿਨ ਲਈ ਇੱਕ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਵਰਤੀ ਜਾਂਦੀ ਐਪ OAuth ਦੇ ਲਾਗੂ ਹੋਣ ਤੋਂ ਪੈਦਾ ਹੁੰਦਾ ਹੈ। ਡਿਵੈਲਪਰਾਂ ਵਿੱਚ ਆਮ ਵਿਸ਼ਵਾਸ ਦੇ ਬਾਵਜੂਦ ਕਿ XSS ਧਮਕੀਆਂ ਅਤੀਤ ਦੀ ਗੱਲ ਹਨ, ਸਾਲਟ ਲੈਬਜ਼ ਦੀਆਂ ਖੋਜਾਂ ਵੈੱਬ ਸੁਰੱਖਿਆ ਵਿੱਚ ਇੱਕ ਨਾਜ਼ੁਕ ਨਿਗਰਾਨੀ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀਆਂ ਹਨ।
ਵਿਸ਼ਾ - ਸੂਚੀ
ਜਾਣ-ਪਛਾਣ ਦੀ ਉਲਝਣ
ਸਮਾਜਿਕ ਲੌਗਿਨ ਲਈ OAuth ਨੂੰ ਲਾਗੂ ਕਰਨ ਦੀ ਸੌਖ ਨੇ ਡਿਵੈਲਪਰਾਂ ਵਿੱਚ ਸੰਤੁਸ਼ਟੀ ਦੀ ਭਾਵਨਾ ਪੈਦਾ ਕੀਤੀ ਹੈ। ਹਾਲਾਂਕਿ, ਇਹ ਜਾਣ-ਪਛਾਣ ਮਹੱਤਵਪੂਰਨ ਗਲਤੀਆਂ ਦਾ ਕਾਰਨ ਬਣ ਸਕਦੀ ਹੈ। ਬੁਨਿਆਦੀ ਮੁੱਦਾ ਨਵੀਂ ਤਕਨਾਲੋਜੀ ਅਤੇ ਮੌਜੂਦਾ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਪ੍ਰਕਿਰਿਆਵਾਂ ਦੀ ਸ਼ੁਰੂਆਤ ਵਿੱਚ ਹੈ, ਜੋ ਸਥਾਪਿਤ ਸੰਤੁਲਨ ਨੂੰ ਵਿਗਾੜ ਸਕਦਾ ਹੈ। ਇਹ ਆਪਣੇ ਆਪ ਵਿੱਚ OAuth ਵਿੱਚ ਕੋਈ ਨੁਕਸ ਨਹੀਂ ਹੈ, ਪਰ ਇਹ ਵੱਖ-ਵੱਖ ਵੈੱਬਸਾਈਟਾਂ ਵਿੱਚ ਕਿਵੇਂ ਲਾਗੂ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਸਾਲਟ ਲੈਬਜ਼ ਨੇ ਖੋਜ ਕੀਤੀ ਕਿ ਸਾਵਧਾਨੀਪੂਰਵਕ ਦੇਖਭਾਲ ਅਤੇ ਕਠੋਰਤਾ ਦੇ ਬਿਨਾਂ, OAuth ਦੀ ਵਰਤੋਂ ਇੱਕ ਨਵਾਂ XSS ਰੂਟ ਬਣਾ ਸਕਦੀ ਹੈ ਜੋ ਮੌਜੂਦਾ ਕਮੀਆਂ ਨੂੰ ਬਾਈਪਾਸ ਕਰ ਸਕਦੀ ਹੈ, ਸੰਭਾਵੀ ਤੌਰ 'ਤੇ ਖਾਤਾ ਲੈਣ-ਦੇਣ ਨੂੰ ਪੂਰਾ ਕਰਦਾ ਹੈ।
ਕੇਸ ਸਟੱਡੀਜ਼: ਹੌਟਜਾਰ ਅਤੇ ਬਿਜ਼ਨਸ ਇਨਸਾਈਡਰ
ਸਾਲਟ ਲੈਬਜ਼ ਦੀ ਖੋਜ ਦੋ ਪ੍ਰਮੁੱਖ ਫਰਮਾਂ ਦੁਆਰਾ ਲਾਗੂ ਕਰਨ 'ਤੇ ਕੇਂਦ੍ਰਿਤ ਹੈ: ਹੌਟਜਾਰ ਅਤੇ ਬਿਜ਼ਨਸ ਇਨਸਾਈਡਰ। ਇਹਨਾਂ ਕੰਪਨੀਆਂ ਨੂੰ ਉਹਨਾਂ ਦੇ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਮੁਦਰਾ ਅਤੇ ਉਹਨਾਂ ਦੁਆਰਾ ਸੰਭਾਲਣ ਵਾਲੀ ਨਿੱਜੀ ਤੌਰ 'ਤੇ ਪਛਾਣਯੋਗ ਜਾਣਕਾਰੀ (PII) ਦੀ ਮਹੱਤਵਪੂਰਨ ਮਾਤਰਾ ਦੇ ਕਾਰਨ ਚੁਣਿਆ ਗਿਆ ਸੀ। ਜੇਕਰ ਅਜਿਹੀਆਂ ਵੱਡੀਆਂ ਫਰਮਾਂ OAuth ਨੂੰ ਗਲਤ-ਲਾਗੂ ਕਰ ਸਕਦੀਆਂ ਹਨ, ਤਾਂ ਛੋਟੀਆਂ, ਘੱਟ ਵਧੀਆ-ਸਰੋਤ ਵਾਲੀਆਂ ਵੈਬਸਾਈਟਾਂ ਦੀਆਂ ਅਜਿਹੀਆਂ ਤਰੁੱਟੀਆਂ ਕਰਨ ਦੀ ਸੰਭਾਵਨਾ ਬਹੁਤ ਜ਼ਿਆਦਾ ਹੈ। ਸਾਲਟ ਸਕਿਓਰਿਟੀ 'ਤੇ ਖੋਜ ਦੇ VP, ਯਾਨੀਵ ਬਲਮਾਸ ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ Booking.com, Grammarly, ਅਤੇ OpenAI ਸਮੇਤ ਵੈੱਬਸਾਈਟਾਂ ਵਿੱਚ ਸਮਾਨ OAuth ਮੁੱਦੇ ਪਾਏ ਗਏ ਸਨ, ਹਾਲਾਂਕਿ ਇਹਨਾਂ ਨੂੰ ਰਿਪੋਰਟ ਵਿੱਚ ਸ਼ਾਮਲ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਸੀ।
HotJar, ਖਾਸ ਤੌਰ 'ਤੇ, ਇਸਦੀ ਵਿਆਪਕ ਮਾਰਕੀਟ ਸੰਤ੍ਰਿਪਤਾ ਅਤੇ ਇਸ ਦੁਆਰਾ ਇਕੱਤਰ ਕੀਤੇ ਉਪਭੋਗਤਾ ਡੇਟਾ ਦੀ ਵਿਸ਼ਾਲ ਮਾਤਰਾ ਦੇ ਕਾਰਨ ਉਜਾਗਰ ਕੀਤਾ ਗਿਆ ਸੀ। ਗੂਗਲ ਵਿਸ਼ਲੇਸ਼ਣ ਦੇ ਸਮਾਨ ਕੰਮ ਕਰਦੇ ਹੋਏ, HotJar ਉਪਭੋਗਤਾ ਸੈਸ਼ਨ ਡੇਟਾ ਨੂੰ ਰਿਕਾਰਡ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਸਕ੍ਰੀਨਸ਼ੌਟਸ, ਕੀਬੋਰਡ ਕਲਿਕਸ ਅਤੇ ਮਾਊਸ ਐਕਸ਼ਨ ਸ਼ਾਮਲ ਹਨ। ਇਹ ਡੇਟਾ ਸੰਵੇਦਨਸ਼ੀਲ ਜਾਣਕਾਰੀ ਨੂੰ ਸ਼ਾਮਲ ਕਰ ਸਕਦਾ ਹੈ ਜਿਵੇਂ ਕਿ ਨਾਮ, ਈਮੇਲ, ਪਤੇ, ਨਿੱਜੀ ਸੁਨੇਹੇ, ਬੈਂਕ ਵੇਰਵੇ, ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ। ਖੋਜੀ ਗਈ ਕਮਜ਼ੋਰੀ ਹਮਲਾਵਰਾਂ ਨੂੰ ਲੌਗਇਨ ਰਹੱਸਾਂ ਨੂੰ ਜਾਅਲੀ ਅਤੇ ਰੋਕ ਕੇ OAuth ਸਮਾਜਿਕ ਲੌਗਇਨ ਪ੍ਰਕਿਰਿਆ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਦੀ ਇਜਾਜ਼ਤ ਦਿੰਦੀ ਹੈ, ਜਿਸ ਨਾਲ ਉਪਭੋਗਤਾ ਖਾਤਿਆਂ ਤੱਕ ਅਣਅਧਿਕਾਰਤ ਪਹੁੰਚ ਪ੍ਰਾਪਤ ਹੁੰਦੀ ਹੈ।
ਹਮਲੇ ਦੀ ਵਿਧੀ
ਹਮਲੇ ਦੀ ਵਿਧੀ ਵਿੱਚ XSS ਨੂੰ OAuth ਲੌਗਇਨ ਪ੍ਰਵਾਹ ਨਾਲ ਜੋੜਨਾ ਸ਼ਾਮਲ ਹੈ। ਇੱਕ ਜਾਇਜ਼ HotJar ਸਮਾਜਿਕ ਲੌਗਇਨ ਬੇਨਤੀ ਦੀ ਨਕਲ ਕਰਨ ਵਾਲਾ ਇੱਕ ਤਿਆਰ ਕੀਤਾ ਲਿੰਕ ਹਮਲੇ ਦੀ ਸ਼ੁਰੂਆਤ ਕਰਦਾ ਹੈ। ਜਦੋਂ ਕੋਈ ਪੀੜਤ ਇਸ ਲਿੰਕ 'ਤੇ ਕਲਿੱਕ ਕਰਦਾ ਹੈ, ਤਾਂ ਹਮਲਾਵਰ ਲੌਗਇਨ ਦੇ ਰਾਜ਼ ਨੂੰ ਰੋਕ ਸਕਦਾ ਹੈ, ਜਿਸ ਨਾਲ ਪੂਰਾ ਖਾਤਾ ਟੇਕਓਵਰ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਹ ਕਮਜ਼ੋਰੀ ਸੁਰੱਖਿਅਤ ਲਾਗੂ ਕਰਨ ਦੇ ਅਭਿਆਸਾਂ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਰੇਖਾਂਕਿਤ ਕਰਦੀ ਹੈ, ਜਿਸਨੂੰ ਬਹੁਤ ਸਾਰੀਆਂ ਵੈਬਸਾਈਟਾਂ ਜਾਂ ਤਾਂ ਨਜ਼ਰਅੰਦਾਜ਼ ਕਰਦੀਆਂ ਹਨ ਜਾਂ ਲਾਗੂ ਕਰਨ ਲਈ ਮੁਹਾਰਤ ਦੀ ਘਾਟ ਕਰਦੀਆਂ ਹਨ।
ਕਿਰਿਆਸ਼ੀਲ ਉਪਾਅ ਅਤੇ ਸਾਧਨ
ਇਹਨਾਂ ਖੋਜਾਂ ਦੇ ਜਵਾਬ ਵਿੱਚ, ਸਾਲਟ ਲੈਬਜ਼ ਨੇ ਵੈੱਬਸਾਈਟ ਆਪਰੇਟਰਾਂ ਨੂੰ ਸੰਭਾਵੀ OAuth XSS ਲਾਗੂ ਕਰਨ ਦੇ ਮੁੱਦਿਆਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਹੱਲ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਨ ਲਈ ਆਪਣੀਆਂ ਵਿਧੀਆਂ ਅਤੇ ਇੱਕ ਮੁਫਤ ਸਕੈਨਰ ਟੂਲ ਪ੍ਰਕਾਸ਼ਿਤ ਕੀਤਾ। ਇਸ ਕਿਰਿਆਸ਼ੀਲ ਪਹੁੰਚ ਦਾ ਉਦੇਸ਼ ਮਹੱਤਵਪੂਰਨ ਸੁਰੱਖਿਆ ਉਲੰਘਣਾਵਾਂ ਵਿੱਚ ਵਧਣ ਤੋਂ ਪਹਿਲਾਂ ਜੋਖਮਾਂ ਨੂੰ ਘਟਾਉਣਾ ਹੈ। ਜਦੋਂ ਕਿ ਬਲਮਾਸ ਸਾਵਧਾਨ ਕਰਦਾ ਹੈ ਕਿ 100% ਸਫਲਤਾ ਦੀ ਗਰੰਟੀ ਨਹੀਂ ਦਿੱਤੀ ਜਾ ਸਕਦੀ, ਇਹ ਸਾਧਨ ਸੰਗਠਨਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀਆਂ ਸੁਰੱਖਿਆ ਸਥਿਤੀਆਂ ਨੂੰ ਮਜ਼ਬੂਤ ਕਰਨ ਲਈ ਇੱਕ ਕੀਮਤੀ ਸ਼ੁਰੂਆਤੀ ਚੇਤਾਵਨੀ ਪ੍ਰਣਾਲੀ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ।
ਸਾਲਟ ਲੈਬਜ਼ ਦੁਆਰਾ ਖੋਜ ਇੱਕ ਸਪੱਸ਼ਟ ਯਾਦ ਦਿਵਾਉਂਦੀ ਹੈ ਕਿ OAuth ਵਰਗੀਆਂ ਵਿਆਪਕ ਤੌਰ 'ਤੇ ਭਰੋਸੇਮੰਦ ਤਕਨੀਕਾਂ ਨੂੰ ਵੀ ਮਿਹਨਤੀ ਅਤੇ ਸੁਰੱਖਿਅਤ ਲਾਗੂ ਕਰਨ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ। ਜਿਵੇਂ ਕਿ ਡਿਜੀਟਲ ਲੈਂਡਸਕੇਪ ਦਾ ਵਿਕਾਸ ਕਰਨਾ ਜਾਰੀ ਹੈ, ਉਸੇ ਤਰ੍ਹਾਂ ਮਜ਼ਬੂਤ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਅਭਿਆਸਾਂ ਲਈ ਸਾਡੀ ਚੌਕਸੀ ਅਤੇ ਵਚਨਬੱਧਤਾ ਵੀ ਹੋਣੀ ਚਾਹੀਦੀ ਹੈ।