Nova grožnja XSS izkorišča socialne prijave OAuth in ogroža milijone spletnih mest
Salt Labs, raziskovalna veja varnostnega podjetja API Salt Security, je pred kratkim odkrila pomembno ranljivost skriptiranja med spletnimi mesti (XSS), ki bi lahko vplivala na milijone spletnih mest po vsem svetu. Za razliko od ranljivosti izdelka, ki jo je mogoče centralno popraviti, ta težava izvira iz implementacije OAuth – široko uporabljene aplikacije za socialne prijave – znotraj spletne kode. Kljub splošnemu prepričanju med razvijalci, da so grožnje XSS stvar preteklosti, ugotovitve Salt Labsa poudarjajo kritičen spregled v spletni varnosti.
Kazalo
Samozadovoljstvo poznavanja
Enostavnost implementacije OAuth za socialne prijave je povzročila občutek samozadovoljstva med razvijalci. To poznavanje pa lahko vodi do pomembnih napak. Temeljno vprašanje je vnos nove tehnologije in procesov v obstoječi ekosistem, ki lahko poruši vzpostavljeno ravnovesje. To ni napaka v samem OAuth, ampak v tem, kako se izvaja na različnih spletnih mestih. Salt Labs je odkril, da lahko brez natančne skrbnosti in strogosti uporaba OAuth ustvari novo pot XSS, ki zaobide trenutne ublažitve, kar lahko vodi do popolnega prevzema računa.
Študije primerov: HotJar in Business Insider
Raziskava Salt Labs se je osredotočila na izvedbe dveh uglednih podjetij: HotJar in Business Insider. Ta podjetja so bila izbrana zaradi znatnih varnostnih položajev in znatne količine osebno določljivih podatkov, s katerimi ravnajo. Če lahko tako velika podjetja napačno implementirajo OAuth , je verjetnost, da bodo manjša spletna mesta z manj viri povzročila podobne napake, velika. Yaniv Balmas, podpredsednik raziskav pri Salt Security, je razkril, da so bile podobne težave z OAuth odkrite na spletnih mestih, vključno z Booking.com, Grammarly in OpenAI, čeprav te niso bile vključene v poročilo.
HotJar je bil posebej poudarjen zaradi svoje obsežne zasičenosti trga in ogromne količine uporabniških podatkov, ki jih zbira. HotJar deluje podobno kot Google Analytics in beleži podatke o uporabniških sejah, vključno s posnetki zaslona, kliki tipkovnice in dejanji miške. Ti podatki lahko vključujejo občutljive podatke, kot so imena, e-poštni naslovi, naslovi, zasebna sporočila, bančni podatki in poverilnice. Odkrita ranljivost omogoča napadalcem, da izkoristijo proces socialne prijave OAuth s ponarejanjem in prestrezanjem prijavnih skrivnosti, s čimer pridobijo nepooblaščen dostop do uporabniških računov.
Metodologija napada
Metoda napada vključuje kombinacijo XSS s tokom prijave OAuth. Izdelana povezava, ki posnema zakonito zahtevo za prijavo v družbeno omrežje HotJar, sproži napad. Ko žrtev klikne to povezavo, lahko napadalec prestreže skrivnosti za prijavo, kar vodi do popolnega prevzema računa. Ta ranljivost poudarja pomen praks varne implementacije, ki jih številna spletna mesta spregledajo ali pa jim primanjkuje strokovnega znanja za izvajanje.
Proaktivni ukrepi in orodja
Kot odgovor na te ugotovitve je Salt Labs objavil svoje metodologije in brezplačno orodje za pregledovanje, ki operaterjem spletnih mest pomaga prepoznati in obravnavati morebitne težave pri izvajanju OAuth XSS. Cilj tega proaktivnega pristopa je ublažiti tveganja, preden se stopnjujejo v resne kršitve varnosti. Čeprav Balmas opozarja, da 100-odstotnega uspeha ni mogoče zagotoviti, orodje zagotavlja dragocen sistem zgodnjega opozarjanja za organizacije, da okrepijo svoje varnostne položaje.
Odkritje Salt Labs služi kot oster opomin, da tudi široko zaupanja vredne tehnologije, kot je OAuth, zahtevajo skrbno in varno implementacijo. Ker se digitalna krajina še naprej razvija, morata biti tudi naša budnost in zavezanost robustnim praksam kibernetske varnosti.