ภัยคุกคาม XSS ใหม่ใช้ประโยชน์จากการเข้าสู่ระบบโซเชียล OAuth ทำให้เว็บไซต์นับล้านตกอยู่ในความเสี่ยง

Salt Labs ซึ่งเป็นหน่วยงานวิจัยของบริษัทรักษาความปลอดภัย API Salt Security ได้ค้นพบ ช่องโหว่ การเขียนสคริปต์ข้ามไซต์ (XSS) ที่สำคัญ ซึ่งอาจส่งผลกระทบต่อเว็บไซต์นับล้านทั่วโลก ซึ่งแตกต่างจากช่องโหว่ของผลิตภัณฑ์ที่สามารถแพทช์จากส่วนกลางได้ ปัญหานี้เกิดจากการนำ OAuth ซึ่งเป็นแอปที่ใช้กันอย่างแพร่หลายสำหรับการเข้าสู่ระบบโซเชียลมาใช้ภายในโค้ดเว็บ แม้ว่านักพัฒนาจะเชื่อกันโดยทั่วไปว่าภัยคุกคาม XSS เป็นเรื่องของอดีตไปแล้ว แต่การค้นพบของ Salt Labs เน้นย้ำถึงการกำกับดูแลที่สำคัญในการรักษาความปลอดภัยของเว็บ

ความพึงพอใจของความคุ้นเคย

ความง่ายในการใช้ OAuth สำหรับการเข้าสู่ระบบโซเชียลทำให้นักพัฒนารู้สึกพึงพอใจ อย่างไรก็ตามความคุ้นเคยนี้สามารถนำไปสู่ข้อผิดพลาดที่สำคัญได้ ปัญหาพื้นฐานอยู่ที่การนำเทคโนโลยีและกระบวนการใหม่ๆ มาสู่ระบบนิเวศที่มีอยู่ ซึ่งสามารถทำลายสมดุลที่จัดตั้งขึ้นได้ นี่ไม่ใช่ข้อบกพร่องในตัว OAuth แต่อยู่ที่วิธีการนำไปใช้กับเว็บไซต์ต่างๆ Salt Labs ค้นพบว่าหากปราศจากการดูแลอย่างพิถีพิถันและเข้มงวด การใช้ OAuth จะสามารถสร้างเส้นทาง XSS ใหม่ที่จะเลี่ยงการบรรเทาผลกระทบในปัจจุบัน ซึ่งอาจนำไปสู่การยึดบัญชีโดยสมบูรณ์

กรณีศึกษา: HotJar และ Business Insider

การวิจัยของ Salt Labs มุ่งเน้นไปที่การดำเนินงานของบริษัทที่มีชื่อเสียง 2 แห่ง ได้แก่ HotJar และ Business Insider บริษัทเหล่านี้ได้รับเลือกเนื่องจากมาตรการรักษาความปลอดภัยที่สำคัญและข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) จำนวนมากที่พวกเขาจัดการ หากบริษัทใหญ่ๆ ดังกล่าวสามารถ นำ OAuth ไปใช้ในทางที่ผิด โอกาสที่เว็บไซต์ขนาดเล็กและมีทรัพยากรน้อยกว่าจะทำให้เกิดข้อผิดพลาดที่คล้ายกันก็มีสูง Yaniv Balmas รองประธานฝ่ายวิจัยของ Salt Security เปิดเผยว่าพบปัญหา OAuth ที่คล้ายกันในเว็บไซต์ต่างๆ รวมถึง Booking.com, Grammarly และ OpenAI แม้ว่าปัญหาเหล่านี้จะไม่ได้รวมอยู่ในรายงานก็ตาม

โดยเฉพาะอย่างยิ่ง HotJar ได้รับการเน้นเนื่องจากความอิ่มตัวของตลาดที่กว้างขวางและข้อมูลผู้ใช้จำนวนมหาศาลที่รวบรวม HotJar ทำงานคล้ายกับ Google Analytics โดยจะบันทึกข้อมูลเซสชันของผู้ใช้ รวมถึงภาพหน้าจอ การคลิกแป้นพิมพ์ และการกระทำของเมาส์ ข้อมูลนี้อาจรวมถึงข้อมูลที่ละเอียดอ่อน เช่น ชื่อ อีเมล ที่อยู่ ข้อความส่วนตัว รายละเอียดธนาคาร และข้อมูลประจำตัว ช่องโหว่ที่ค้นพบนี้ทำให้ผู้โจมตีสามารถใช้ประโยชน์จากกระบวนการเข้าสู่ระบบโซเชียล OAuth โดยการปลอมแปลงและสกัดกั้นความลับในการเข้าสู่ระบบ ดังนั้นจึงได้รับการเข้าถึงบัญชีผู้ใช้โดยไม่ได้รับอนุญาต

วิธีการโจมตี

วิธีการโจมตีเกี่ยวข้องกับการรวม XSS เข้ากับขั้นตอนการเข้าสู่ระบบ OAuth ลิงก์ที่สร้างขึ้นเพื่อเลียนแบบคำขอเข้าสู่ระบบโซเชียล HotJar ที่ถูกต้องตามกฎหมายจะเริ่มต้นการโจมตี เมื่อเหยื่อคลิกลิงก์นี้ ผู้โจมตีสามารถสกัดกั้นความลับในการเข้าสู่ระบบ ซึ่งนำไปสู่การยึดบัญชีโดยสมบูรณ์ ช่องโหว่นี้เน้นย้ำถึงความสำคัญของแนวทางปฏิบัติในการใช้งานที่ปลอดภัย ซึ่งเว็บไซต์หลายแห่งมองข้ามหรือขาดความเชี่ยวชาญในการดำเนินการ

มาตรการและเครื่องมือเชิงรุก

เพื่อตอบสนองต่อการค้นพบนี้ Salt Labs ได้เผยแพร่วิธีการและเครื่องมือสแกนฟรีเพื่อช่วยผู้ให้บริการเว็บไซต์ระบุและแก้ไขปัญหาการใช้งาน OAuth XSS ที่อาจเกิดขึ้น แนวทางเชิงรุกนี้มีจุดมุ่งหมายเพื่อลดความเสี่ยงก่อนที่จะลุกลามไปสู่การละเมิดความปลอดภัยที่สำคัญ แม้ว่า Balmas จะเตือนว่าไม่สามารถรับประกันความสำเร็จได้ 100% แต่เครื่องมือนี้ก็มีระบบเตือนภัยล่วงหน้าอันมีค่าสำหรับองค์กรต่างๆ เพื่อเสริมสร้างมาตรการรักษาความปลอดภัยของตน

การค้นพบโดย Salt Labs ทำหน้าที่เป็นเครื่องเตือนใจว่าแม้แต่เทคโนโลยีที่ได้รับความไว้วางใจอย่างกว้างขวาง เช่น OAuth ก็ยังจำเป็นต้องมีการใช้งานอย่างขยันขันแข็งและปลอดภัย ในขณะที่ภูมิทัศน์ทางดิจิทัลยังคงมีการพัฒนาอย่างต่อเนื่อง การเฝ้าระวังและความมุ่งมั่นของเราต่อแนวทางปฏิบัติด้านความปลอดภัยทางไซเบอร์ที่แข็งแกร่งก็เช่นกัน