Kërcënimi i ri XSS shfrytëzon hyrjet sociale të OAuth duke vënë në rrezik miliona faqe interneti
Salt Labs, krahu hulumtues i firmës së sigurisë API Salt Security, ka zbuluar së fundmi një cenueshmëri të rëndësishme të skriptimit ndër-site (XSS) që ka potencialin të ndikojë në miliona faqe interneti në mbarë botën. Ndryshe nga një dobësi e produktit që mund të korrigjohet nga qendra, kjo çështje rrjedh nga zbatimi i OAuth - një aplikacion i përdorur gjerësisht për hyrjet sociale - brenda kodit të uebit. Pavarësisht besimit të përbashkët midis zhvilluesve se kërcënimet XSS janë një gjë e së kaluarës, gjetjet e Salt Labs theksojnë një mbikëqyrje kritike në sigurinë e uebit.
Tabela e Përmbajtjes
Vetëkënaqësia e Familjaritetit
Lehtësia e zbatimit të OAuth për hyrjet sociale ka çuar në një ndjenjë vetëkënaqësie midis zhvilluesve. Megjithatë, ky njohje mund të çojë në gabime të rëndësishme. Çështja themelore qëndron në futjen e teknologjisë dhe proceseve të reja në një ekosistem ekzistues, i cili mund të prishë ekuilibrin e vendosur. Ky nuk është një defekt në vetë OAuth, por në mënyrën se si zbatohet në faqet e internetit të ndryshme. Salt Labs zbuloi se pa kujdes dhe rigorozitet të përpiktë, përdorimi i OAuth mund të krijojë një rrugë të re XSS që anashkalon zbutjet aktuale, duke çuar potencialisht në marrjen e plotë të llogarisë.
Studime të Rastit: HotJar dhe Business Insider
Hulumtimi i Salt Labs u fokusua në implementimet nga dy firma të shquara: HotJar dhe Business Insider. Këto kompani u zgjodhën për shkak të pozicioneve të tyre të konsiderueshme të sigurisë dhe sasisë së konsiderueshme të informacionit personal të identifikueshëm (PII) që ata trajtojnë. Nëse firma të tilla të mëdha mund të keq-zbatojnë OAuth , gjasat që faqet e internetit më të vogla dhe më pak të pajisura të bëjnë gabime të ngjashme janë të larta. Yaniv Balmas, VP i kërkimit në Salt Security, zbuloi se çështje të ngjashme të OAuth u gjetën në faqet e internetit duke përfshirë Booking.com, Grammarly dhe OpenAI, megjithëse këto nuk ishin përfshirë në raport.
HotJar, në veçanti, u theksua për shkak të ngopjes së gjerë të tregut dhe sasive të mëdha të të dhënave të përdoruesve që mbledh. Duke funksionuar në mënyrë të ngjashme me Google Analytics, HotJar regjistron të dhënat e sesionit të përdoruesit, duke përfshirë pamjet e ekranit, klikimet e tastierës dhe veprimet e miut. Këto të dhëna mund të përfshijnë informacione të ndjeshme si emrat, emailet, adresat, mesazhet private, detajet bankare dhe kredencialet. Dobësia e zbuluar i lejon sulmuesit të shfrytëzojnë procesin e identifikimit social të OAuth duke falsifikuar dhe përgjuar sekretet e hyrjes, duke fituar kështu akses të paautorizuar në llogaritë e përdoruesve.
Metodologjia e Sulmit
Metoda e sulmit përfshin kombinimin e XSS me rrjedhën e hyrjes në OAuth. Një lidhje e krijuar që imiton një kërkesë legjitime të hyrjes sociale në HotJar fillon sulmin. Kur një viktimë klikon këtë lidhje, sulmuesi mund të përgjojë sekretet e hyrjes, duke çuar në marrjen e plotë të llogarisë. Kjo dobësi nënvizon rëndësinë e praktikave të sigurta të zbatimit, të cilat shumë faqe interneti ose i anashkalojnë ose u mungon ekspertiza për t'i ekzekutuar.
Masat dhe Mjetet Proaktive
Në përgjigje të këtyre gjetjeve, Salt Labs publikoi metodologjitë e tij dhe një mjet skaner falas për të ndihmuar operatorët e faqeve të internetit të identifikojnë dhe adresojnë çështjet e mundshme të zbatimit të OAuth XSS. Kjo qasje proaktive synon të zbusë rreziqet përpara se ato të përshkallëzohen në shkelje të rëndësishme të sigurisë. Ndërsa Balmas paralajmëron se suksesi 100% nuk mund të garantohet, mjeti ofron një sistem të vlefshëm paralajmërimi të hershëm për organizatat që të forcojnë qëndrimet e tyre të sigurisë.
Zbulimi nga Salt Labs shërben si një kujtesë e fortë se edhe teknologjitë e besuara gjerësisht si OAuth kërkojnë zbatim të zellshëm dhe të sigurt. Ndërsa peizazhi dixhital vazhdon të evoluojë, po ashtu duhet të zhvillohet edhe vigjilenca dhe përkushtimi ynë ndaj praktikave të fuqishme të sigurisë kibernetike.