Нова загроза XSS використовує соціальні входи OAuth, піддаючи ризику мільйони веб-сайтів
Salt Labs, дослідницький відділ фірми Salt Security із захисту API, нещодавно виявив значну вразливість міжсайтового сценарію (XSS), яка потенційно може вплинути на мільйони веб-сайтів у всьому світі. На відміну від уразливості продукту, яку можна виправити централізовано, ця проблема виникає через впровадження OAuth — широко використовуваної програми для входу в соціальні мережі — у веб-коді. Незважаючи на загальну думку серед розробників, що загрози XSS залишилися в минулому, висновки Salt Labs підкреслюють критичний недогляд у веб-безпеці.
Зміст
Самовдоволення фамільярності
Простота впровадження OAuth для входу в соціальні мережі викликала почуття самовдоволення серед розробників. Однак таке знайомство може призвести до значних помилок. Основна проблема полягає у впровадженні нових технологій і процесів в існуючу екосистему, які можуть порушити встановлену рівновагу. Це недолік не в самому OAuth, а в тому, як він реалізований на різних веб-сайтах. Salt Labs виявила, що без ретельної уваги та суворості використання OAuth може створити новий маршрут XSS, який обійде поточні засоби захисту, що потенційно може призвести до повного захоплення облікового запису.
Тематичні дослідження: HotJar і Business Insider
Дослідження Salt Labs зосереджено на впровадженнях двох відомих фірм: HotJar і Business Insider. Ці компанії були обрані через їх значну безпеку та значну кількість персональної інформації (PII), яку вони обробляють. Якщо такі великі фірми можуть неправильно запровадити OAuth , велика ймовірність того, що менші веб-сайти з меншими ресурсами створять подібні помилки. Янів Балмас, віце-президент з досліджень у Salt Security, розповів, що подібні проблеми OAuth були виявлені на веб-сайтах, зокрема Booking.com, Grammarly та OpenAI, хоча вони не були включені у звіт.
HotJar, зокрема, був відзначений через його широке насичення ринку та величезну кількість даних користувачів, які він збирає. Працюючи подібно до Google Analytics, HotJar записує дані сеансу користувача, включаючи знімки екрана, натискання клавіатури та дії миші. Ці дані можуть включати конфіденційну інформацію, таку як імена, електронні адреси, адреси, особисті повідомлення, банківські реквізити та облікові дані. Виявлена вразливість дозволяє зловмисникам використовувати процес соціального входу OAuth, підробляючи та перехоплюючи секрети входу, отримуючи таким чином несанкціонований доступ до облікових записів користувачів.
Методологія атаки
Метод атаки передбачає поєднання XSS із потоком входу OAuth. Створене посилання, що імітує законний запит HotJar на вхід із соціальної мережі, ініціює атаку. Коли жертва натискає це посилання, зловмисник може перехопити секрети входу, що призведе до повного захоплення облікового запису. Ця вразливість підкреслює важливість практик безпечного впровадження, які багато веб-сайтів або не помічають, або не мають досвіду для виконання.
Профілактичні заходи та інструменти
У відповідь на ці висновки Salt Labs опублікувала свої методології та безкоштовний інструмент сканування, щоб допомогти операторам веб-сайтів виявити та вирішити потенційні проблеми з впровадженням OAuth XSS. Цей проактивний підхід спрямований на пом’якшення ризиків до того, як вони переростуть у серйозні порушення безпеки. Хоча Балмас застерігає, що 100% успіх не може бути гарантований, інструмент надає цінну систему раннього попередження для організацій, щоб зміцнити свої позиції безпеки.
Відкриття Salt Labs служить яскравим нагадуванням про те, що навіть такі надійні технології, як OAuth, вимагають ретельного та безпечного впровадження. Оскільки цифровий ландшафт продовжує розвиватися, наша пильність і відданість надійним практикам кібербезпеки також повинні розвиватися.