Nová hrozba XSS využíva prihlasovanie cez sociálne siete OAuth, čím ohrozuje milióny webových stránok
Salt Labs, výskumná pobočka firmy na zabezpečenie API Salt Security, nedávno objavila významnú zraniteľnosť skriptovania medzi stránkami (XSS), ktorá má potenciál ovplyvniť milióny webových stránok na celom svete. Na rozdiel od zraniteľnosti produktu, ktorú možno centrálne opraviť, tento problém pramení z implementácie OAuth – široko používanej aplikácie na sociálne prihlásenie – v rámci webového kódu. Napriek všeobecnému presvedčeniu medzi vývojármi, že hrozby XSS sú minulosťou, zistenia spoločnosti Salt Labs zdôrazňujú kritický dohľad nad webovou bezpečnosťou.
Obsah
Spokojnosť zo známosti
Jednoduchosť implementácie OAuth pre sociálne prihlásenie viedla k pocitu spokojnosti medzi vývojármi. Táto znalosť však môže viesť k významným chybám. Základná otázka spočíva v zavádzaní nových technológií a procesov do existujúceho ekosystému, ktoré môžu narušiť nastolenú rovnováhu. Toto nie je chyba v samotnom OAuth, ale v tom, ako je implementovaný na rôznych webových stránkach. Spoločnosť Salt Labs zistila, že bez starostlivej starostlivosti a prísnosti môže použitie protokolu OAuth vytvoriť novú trasu XSS, ktorá obchádza súčasné zmiernenia, čo môže viesť k úplnému prevzatiu účtu.
Prípadové štúdie: HotJar a Business Insider
Výskum spoločnosti Salt Labs sa zameral na implementácie dvoch prominentných firiem: HotJar a Business Insider. Tieto spoločnosti boli vybrané z dôvodu ich významného bezpečnostného postavenia a značného množstva osobne identifikovateľných informácií (PII), s ktorými nakladajú. Ak takéto veľké firmy dokážu nesprávne implementovať OAuth , pravdepodobnosť, že menšie webové stránky s horšími zdrojmi budú robiť podobné chyby, je vysoká. Yaniv Balmas, viceprezident výskumu v spoločnosti Salt Security, odhalil, že podobné problémy s protokolom OAuth boli nájdené na webových stránkach vrátane Booking.com, Grammarly a OpenAI, hoci tieto neboli zahrnuté do správy.
HotJar bol zvýraznený najmä vďaka svojej rozsiahlej saturácii trhu a obrovskému množstvu používateľských dát, ktoré zhromažďuje. Služba HotJar, ktorá funguje podobne ako Google Analytics, zaznamenáva údaje o reláciách používateľa vrátane snímok obrazovky, kliknutí na klávesnici a akcií myši. Tieto údaje môžu zahŕňať citlivé informácie, ako sú mená, e-maily, adresy, súkromné správy, bankové údaje a prihlasovacie údaje. Objavená zraniteľnosť umožňuje útočníkom zneužiť proces sociálneho prihlasovania OAuth falšovaním a zachytením prihlasovacích tajomstiev, čím získajú neoprávnený prístup k používateľským účtom.
Metodika útoku
Metóda útoku zahŕňa kombináciu XSS s prihlasovacím tokom OAuth. Vytvorený odkaz napodobňujúci legitímnu požiadavku na sociálne prihlásenie HotJar iniciuje útok. Keď obeť klikne na tento odkaz, útočník môže zachytiť tajomstvá prihlásenia, čo vedie k úplnému prevzatiu účtu. Táto zraniteľnosť podčiarkuje dôležitosť bezpečných implementačných postupov, ktoré mnohé webové stránky buď prehliadajú, alebo im chýbajú odborné znalosti.
Proaktívne opatrenia a nástroje
V reakcii na tieto zistenia spoločnosť Salt Labs zverejnila svoje metodiky a bezplatný nástroj na skenovanie, ktorý pomáha prevádzkovateľom webových stránok identifikovať a riešiť potenciálne problémy s implementáciou OAuth XSS. Tento proaktívny prístup má za cieľ zmierniť riziká skôr, ako prerastú do významných narušení bezpečnosti. Hoci Balmas varuje, že nemožno zaručiť 100% úspech, tento nástroj poskytuje organizáciám cenný systém včasného varovania, aby posilnili svoje bezpečnostné pozície.
Objav spoločnosti Salt Labs slúži ako jasná pripomienka, že aj široko dôveryhodné technológie, ako je OAuth, vyžadujú starostlivú a bezpečnú implementáciu. S neustálym vývojom digitálneho prostredia sa musí vyvíjať aj naša ostražitosť a odhodlanie uplatňovať robustné postupy v oblasti kybernetickej bezpečnosti.