Новая угроза XSS использует социальные сети OAuth, подвергая риску миллионы веб-сайтов
Salt Labs, исследовательское подразделение компании Salt Security, занимающейся безопасностью API, недавно обнаружила серьезную уязвимость межсайтового скриптинга (XSS), которая потенциально может затронуть миллионы веб-сайтов по всему миру. В отличие от уязвимости продукта, которую можно централизованно исправить, эта проблема связана с реализацией OAuth — широко используемого приложения для входа в социальные сети — в веб-код. Несмотря на распространенное среди разработчиков мнение, что XSS-угрозы остались в прошлом, выводы Salt Labs подчеркивают критическую ошибку в веб-безопасности.
Оглавление
Самоуспокоенность от знакомства
Простота реализации OAuth для входа в систему через социальные сети вызвала у разработчиков чувство самоуспокоенности. Однако такое знакомство может привести к существенным ошибкам. Фундаментальный вопрос заключается во внедрении в существующую экосистему новых технологий и процессов, которые могут нарушить установившееся равновесие. Это ошибка не самого OAuth, а того, как он реализован на различных веб-сайтах. Компания Salt Labs обнаружила, что без тщательного подхода и строгости использование OAuth может создать новый маршрут XSS, который обходит текущие средства защиты, что потенциально может привести к полному захвату учетных записей.
Практические примеры: HotJar и Business Insider
Исследование Salt Labs было сосредоточено на реализациях двух известных фирм: HotJar и Business Insider. Эти компании были выбраны из-за их высокого уровня безопасности и значительного объема личной информации (PII), с которой они работают. Если такие крупные компании могут неправильно внедрить OAuth , вероятность того, что более мелкие и менее обеспеченные ресурсами веб-сайты совершат аналогичные ошибки, высока. Янив Балмас, вице-президент по исследованиям Salt Security, сообщил, что аналогичные проблемы OAuth были обнаружены на веб-сайтах, включая Booking.com, Grammarly и OpenAI, хотя они не были включены в отчет.
HotJar, в частности, был отмечен из-за его обширного рынка и огромных объемов пользовательских данных, которые он собирает. Работая аналогично Google Analytics, HotJar записывает данные сеанса пользователя, включая снимки экрана, щелчки клавиатуры и действия мыши. Эти данные могут включать в себя конфиденциальную информацию, такую как имена, адреса электронной почты, личные сообщения, банковские реквизиты и учетные данные. Обнаруженная уязвимость позволяет злоумышленникам использовать процесс входа в социальную сеть OAuth, подделывая и перехватывая секреты входа, тем самым получая несанкционированный доступ к учетным записям пользователей.
Методология атаки
Метод атаки предполагает объединение XSS с процессом входа в систему OAuth. Созданная ссылка, имитирующая законный запрос на вход в социальную сеть HotJar, инициирует атаку. Когда жертва нажимает на эту ссылку, злоумышленник может перехватить секреты входа в систему, что приведет к полному захвату учетной записи. Эта уязвимость подчеркивает важность методов безопасной реализации, которые многие веб-сайты либо упускают из виду, либо не имеют опыта для их реализации.
Проактивные меры и инструменты
В ответ на эти выводы Salt Labs опубликовала свои методологии и бесплатный инструмент для сканирования, которые помогут операторам веб-сайтов выявлять и устранять потенциальные проблемы с внедрением OAuth XSS. Этот упреждающий подход направлен на снижение рисков до того, как они перерастут в серьезные нарушения безопасности. Хотя Балмас предупреждает, что 100%-ный успех не может быть гарантирован, этот инструмент предоставляет организациям ценную систему раннего предупреждения, позволяющую укрепить свою безопасность.
Открытие Salt Labs служит ярким напоминанием о том, что даже широко пользующиеся доверием технологии, такие как OAuth, требуют тщательного и безопасного внедрения. Поскольку цифровой ландшафт продолжает развиваться, наша бдительность и приверженность надежным практикам кибербезопасности тоже должны развиваться.