புதிய XSS அச்சுறுத்தல் OAuth சமூக உள்நுழைவுகளை பயன்படுத்தி மில்லியன் கணக்கான இணையதளங்களை ஆபத்தில் ஆழ்த்துகிறது

ஏபிஐ பாதுகாப்பு நிறுவனமான சால்ட் செக்யூரிட்டியின் ஆராய்ச்சிப் பிரிவான சால்ட் லேப்ஸ், உலகளவில் மில்லியன் கணக்கான இணையதளங்களை பாதிக்கும் திறன் கொண்ட குறிப்பிடத்தக்க குறுக்கு-தள ஸ்கிரிப்டிங் (எக்ஸ்எஸ்எஸ்) பாதிப்பை சமீபத்தில் கண்டறிந்துள்ளது. மையமாக இணைக்கப்படக்கூடிய தயாரிப்பு பாதிப்பைப் போலன்றி, இணையக் குறியீட்டிற்குள் சமூக உள்நுழைவுகளுக்காகப் பரவலாகப் பயன்படுத்தப்படும் பயன்பாடான OAuth-ஐச் செயல்படுத்துவதிலிருந்து இந்தச் சிக்கல் உருவாகிறது. XSS அச்சுறுத்தல்கள் கடந்த காலத்தின் ஒரு விஷயம் என்று டெவலப்பர்களிடையே பொதுவான நம்பிக்கை இருந்தபோதிலும், சால்ட் லேப்ஸின் கண்டுபிடிப்புகள் இணைய பாதுகாப்பில் ஒரு முக்கியமான மேற்பார்வையை எடுத்துக்காட்டுகின்றன.

பரிச்சயத்தின் திருப்தி

சமூக உள்நுழைவுகளுக்கு OAuth ஐ எளிதாக செயல்படுத்துவது டெவலப்பர்கள் மத்தியில் ஒரு மனநிறைவை ஏற்படுத்தியது. இருப்பினும், இந்த அறிமுகம் குறிப்பிடத்தக்க தவறுகளுக்கு வழிவகுக்கும். தற்போதுள்ள சுற்றுச்சூழல் அமைப்பில் புதிய தொழில்நுட்பம் மற்றும் செயல்முறைகளை அறிமுகப்படுத்துவதில் அடிப்படை சிக்கல் உள்ளது, இது நிறுவப்பட்ட சமநிலையை சீர்குலைக்கும். இது OAuth இல் உள்ள குறைபாடு அல்ல, ஆனால் இது பல்வேறு இணையதளங்களில் எவ்வாறு செயல்படுத்தப்படுகிறது என்பதில் உள்ளது. துல்லியமான கவனிப்பு மற்றும் கடுமை இல்லாமல், OAuth இன் பயன்பாடு தற்போதைய குறைப்புகளைத் தவிர்த்து புதிய XSS வழியை உருவாக்க முடியும் என்று சால்ட் லேப்ஸ் கண்டுபிடித்தது, இது முழுமையான கணக்கு கையகப்படுத்துதலுக்கு வழிவகுக்கும்.

வழக்கு ஆய்வுகள்: ஹாட்ஜார் மற்றும் பிசினஸ் இன்சைடர்

சால்ட் லேப்ஸின் ஆராய்ச்சி இரண்டு முக்கிய நிறுவனங்களின் செயலாக்கங்களில் கவனம் செலுத்தியது: ஹாட்ஜார் மற்றும் பிசினஸ் இன்சைடர். இந்த நிறுவனங்கள் அவற்றின் கணிசமான பாதுகாப்பு நிலைகள் மற்றும் அவர்கள் கையாளும் தனிப்பட்ட முறையில் அடையாளம் காணக்கூடிய தகவல்கள் (PII) ஆகியவற்றின் காரணமாக தேர்ந்தெடுக்கப்பட்டன. அத்தகைய பெரிய நிறுவனங்கள் OAuth ஐ தவறாகச் செயல்படுத்தினால் , சிறிய, குறைந்த வளம் கொண்ட இணையதளங்கள் இதே போன்ற பிழைகளைச் செய்யும் வாய்ப்பு அதிகம். சால்ட் செக்யூரிட்டியின் ஆராய்ச்சியின் VP, Yaniv Balmas, இதே போன்ற OAuth சிக்கல்கள் Booking.com, Grammarly மற்றும் OpenAI உள்ளிட்ட இணையதளங்களில் காணப்பட்டன, இருப்பினும் இவை அறிக்கையில் சேர்க்கப்படவில்லை.

HotJar, குறிப்பாக, அதன் விரிவான சந்தை செறிவு மற்றும் அது சேகரிக்கும் பயனர் தரவுகளின் பரந்த அளவு காரணமாக முன்னிலைப்படுத்தப்பட்டது. Google Analytics போலவே செயல்படும், HotJar ஸ்கிரீன்ஷாட்கள், கீபோர்டு கிளிக்குகள் மற்றும் மவுஸ் செயல்கள் உள்ளிட்ட பயனர் அமர்வுத் தரவைப் பதிவு செய்கிறது. இந்தத் தரவு, பெயர்கள், மின்னஞ்சல்கள், முகவரிகள், தனிப்பட்ட செய்திகள், வங்கி விவரங்கள் மற்றும் நற்சான்றிதழ்கள் போன்ற முக்கியமான தகவல்களை உள்ளடக்கும். கண்டறியப்பட்ட பாதிப்பு, உள்நுழைவு ரகசியங்களை போலியாக உருவாக்கி இடைமறிப்பதன் மூலம் தாக்குபவர்களை OAuth சமூக உள்நுழைவு செயல்முறையைப் பயன்படுத்த அனுமதிக்கிறது, இதன் மூலம் பயனர் கணக்குகளுக்கு அங்கீகரிக்கப்படாத அணுகலைப் பெறுகிறது.

தாக்குதல் முறை

தாக்குதல் முறையானது OAuth உள்நுழைவு ஓட்டத்துடன் XSS ஐ இணைப்பதை உள்ளடக்கியது. சட்டபூர்வமான HotJar சமூக உள்நுழைவு கோரிக்கையைப் பிரதிபலிக்கும் ஒரு வடிவமைக்கப்பட்ட இணைப்பு தாக்குதலைத் தொடங்குகிறது. பாதிக்கப்பட்டவர் இந்த இணைப்பைக் கிளிக் செய்யும் போது, தாக்குபவர் உள்நுழைவு ரகசியங்களை இடைமறித்து, முழு கணக்கையும் கையகப்படுத்த வழிவகுக்கும். இந்த பாதிப்பு பாதுகாப்பான செயல்படுத்தல் நடைமுறைகளின் முக்கியத்துவத்தை அடிக்கோடிட்டுக் காட்டுகிறது, பல வலைத்தளங்கள் கவனிக்கவில்லை அல்லது செயல்படுத்தும் நிபுணத்துவம் இல்லாதவை.

செயலில் உள்ள நடவடிக்கைகள் மற்றும் கருவிகள்

இந்த கண்டுபிடிப்புகளுக்கு பதிலளிக்கும் விதமாக, சால்ட் லேப்ஸ் அதன் வழிமுறைகள் மற்றும் இலவச ஸ்கேனர் கருவியை வெளியிட்டது, இது சாத்தியமான OAuth XSS செயல்படுத்தல் சிக்கல்களை இணையதள ஆபரேட்டர்களைக் கண்டறிந்து தீர்க்க உதவுகிறது. இந்த செயலூக்கமான அணுகுமுறையானது அபாயங்கள் குறிப்பிடத்தக்க பாதுகாப்பு மீறல்களாக அதிகரிக்கும் முன் அவற்றைத் தணிப்பதை நோக்கமாகக் கொண்டுள்ளது. 100% வெற்றிக்கு உத்தரவாதம் அளிக்க முடியாது என்று பால்மாஸ் எச்சரித்தாலும், இந்த கருவி நிறுவனங்களுக்கு அவர்களின் பாதுகாப்பு நிலைகளை பலப்படுத்த ஒரு மதிப்புமிக்க ஆரம்ப எச்சரிக்கை அமைப்பை வழங்குகிறது.

சால்ட் லேப்ஸின் கண்டுபிடிப்பு, OAuth போன்ற பரவலாக நம்பகமான தொழில்நுட்பங்களுக்கு கூட விடாமுயற்சி மற்றும் பாதுகாப்பான செயல்படுத்தல் தேவை என்பதை நினைவூட்டுகிறது. டிஜிட்டல் நிலப்பரப்பு தொடர்ந்து உருவாகி வருவதால், வலுவான இணைய பாதுகாப்பு நடைமுறைகளில் நமது விழிப்புணர்வும் அர்ப்பணிப்பும் இருக்க வேண்டும்.