Mối đe dọa XSS mới khai thác thông tin đăng nhập xã hội OAuth khiến hàng triệu trang web gặp rủi ro
Salt Labs, bộ phận nghiên cứu của công ty bảo mật API Salt Security, gần đây đã phát hiện ra một lỗ hổng nghiêm trọng về tập lệnh chéo trang (XSS) có khả năng ảnh hưởng đến hàng triệu trang web trên toàn cầu. Không giống như lỗ hổng sản phẩm có thể được vá tập trung, vấn đề này bắt nguồn từ việc triển khai OAuth—một ứng dụng được sử dụng rộng rãi để đăng nhập qua mạng xã hội—trong mã web. Bất chấp niềm tin chung của các nhà phát triển rằng các mối đe dọa XSS đã là chuyện quá khứ, những phát hiện của Salt Labs nêu bật sự giám sát nghiêm trọng trong bảo mật web.
Mục lục
Sự tự mãn của sự quen thuộc
Việc dễ dàng triển khai OAuth cho thông tin đăng nhập qua mạng xã hội đã dẫn đến cảm giác tự mãn của các nhà phát triển. Tuy nhiên, sự quen thuộc này có thể dẫn đến những sai lầm nghiêm trọng. Vấn đề cơ bản nằm ở việc đưa công nghệ và quy trình mới vào hệ sinh thái hiện có, điều này có thể phá vỡ trạng thái cân bằng đã thiết lập. Đây không phải là một lỗ hổng trong bản thân OAuth mà là ở cách nó được triển khai trên nhiều trang web khác nhau. Salt Labs phát hiện ra rằng nếu không có sự cẩn trọng và nghiêm ngặt một cách tỉ mỉ, việc sử dụng OAuth có thể tạo ra một tuyến XSS mới bỏ qua các biện pháp giảm thiểu hiện tại, có khả năng dẫn đến việc chiếm đoạt tài khoản hoàn toàn.
Nghiên cứu điển hình: HotJar và Business Insider
Nghiên cứu của Salt Labs tập trung vào việc triển khai của hai công ty nổi bật: HotJar và Business Insider. Các công ty này được chọn do tình hình bảo mật đáng kể và lượng thông tin nhận dạng cá nhân (PII) đáng kể mà họ xử lý. Nếu các công ty lớn như vậy có thể triển khai sai OAuth thì khả năng các trang web nhỏ hơn, ít nguồn lực hơn mắc lỗi tương tự là rất cao. Yaniv Balmas, Phó Giám đốc nghiên cứu tại Salt Security, tiết lộ rằng các vấn đề OAuth tương tự đã được tìm thấy trên các trang web bao gồm Booking.com, Grammarly và OpenAI, mặc dù những vấn đề này không được đưa vào báo cáo.
Đặc biệt, HotJar được chú ý do độ bão hòa thị trường rộng lớn và lượng dữ liệu người dùng khổng lồ mà nó thu thập. Hoạt động tương tự như Google Analytics, HotJar ghi lại dữ liệu phiên của người dùng, bao gồm ảnh chụp màn hình, lần nhấp bàn phím và thao tác chuột. Dữ liệu này có thể bao gồm thông tin nhạy cảm như tên, email, địa chỉ, tin nhắn riêng tư, chi tiết ngân hàng và thông tin xác thực. Lỗ hổng được phát hiện cho phép kẻ tấn công khai thác quy trình đăng nhập xã hội OAuth bằng cách giả mạo và chặn bí mật đăng nhập, từ đó giành được quyền truy cập trái phép vào tài khoản người dùng.
Phương pháp tấn công
Phương thức tấn công liên quan đến việc kết hợp XSS với luồng đăng nhập OAuth. Một liên kết được tạo ra bắt chước yêu cầu đăng nhập xã hội HotJar hợp pháp sẽ bắt đầu cuộc tấn công. Khi nạn nhân nhấp vào liên kết này, kẻ tấn công có thể chặn bí mật đăng nhập, dẫn đến chiếm đoạt toàn bộ tài khoản. Lỗ hổng này nhấn mạnh tầm quan trọng của các biện pháp triển khai an toàn mà nhiều trang web bỏ qua hoặc thiếu chuyên môn để thực hiện.
Các biện pháp và công cụ chủ động
Để đáp lại những phát hiện này, Salt Labs đã xuất bản các phương pháp và công cụ quét miễn phí để giúp các nhà điều hành trang web xác định và giải quyết các vấn đề tiềm ẩn khi triển khai OAuth XSS. Cách tiếp cận chủ động này nhằm mục đích giảm thiểu rủi ro trước khi chúng leo thang thành các vi phạm an ninh nghiêm trọng. Mặc dù Balmas cảnh báo rằng không thể đảm bảo thành công 100% nhưng công cụ này cung cấp một hệ thống cảnh báo sớm có giá trị cho các tổ chức nhằm củng cố tình hình bảo mật của họ.
Phát hiện của Salt Labs đóng vai trò như một lời nhắc nhở rõ ràng rằng ngay cả những công nghệ đáng tin cậy rộng rãi như OAuth cũng yêu cầu triển khai một cách siêng năng và an toàn. Khi bối cảnh kỹ thuật số tiếp tục phát triển, chúng ta cũng phải cảnh giác và cam kết thực hiện các biện pháp an ninh mạng mạnh mẽ.