新的 XSS 威胁利用 OAuth 社交登录使数百万个网站面临风险

Salt Labs 是 API 安全公司 Salt Security 的研究部门，最近发现了一个严重的跨站点脚本 (XSS)漏洞，可能会影响全球数百万个网站。与可以集中修补的产品漏洞不同，此问题源于 Web 代码中 OAuth（一种广泛使用的社交登录应用程序）的实现。尽管开发人员普遍认为 XSS 威胁已成为过去，但 Salt Labs 的发现凸显了网络安全中的一个关键疏忽。

熟悉的自满

社交登录 OAuth 的实施十分简单，这让开发人员产生了一种自满情绪。然而，这种熟悉感可能会导致重大错误。根本问题在于将新技术和流程引入现有生态系统，这可能会破坏既定的平衡。这不是 OAuth 本身的缺陷，而是它在各个网站上的实施方式。Salt Labs 发现，如果不小心谨慎，使用 OAuth 可能会创建一条新的 XSS 路线，绕过当前的缓解措施，可能导致帐户被完全接管。

案例研究：HotJar 和 Business Insider

Salt Labs 的研究重点是两家知名公司的实施情况：HotJar 和 Business Insider。之所以选择这两家公司，是因为它们的安全状况良好，并且处理了大量的个人身份信息 (PII)。如果这些大公司都可能错误实施 OAuth ，那么规模较小、资源较少的网站犯类似错误的可能性也很高。Salt Security 研究副总裁 Yaniv Balmas 透露，在 Booking.com、Grammarly 和 OpenAI 等网站也发现了类似的 OAuth 问题，尽管这些网站并未包含在报告中。

HotJar 尤其受到关注，因为它的市场饱和度很高，而且收集了大量的用户数据。HotJar 的运作方式与 Google Analytics 类似，它会记录用户会话数据，包括屏幕截图、键盘点击和鼠标操作。这些数据可能包含敏感信息，例如姓名、电子邮件、地址、私人消息、银行详细信息和凭证。发现的漏洞允许攻击者通过伪造和拦截登录密钥来利用 OAuth 社交登录过程，从而获得对用户帐户的未经授权的访问。

攻击方法

攻击方法涉及将 XSS 与 OAuth 登录流程相结合。模仿合法 HotJar 社交登录请求的精心设计的链接会发起攻击。当受害者点击此链接时，攻击者可以拦截登录密码，从而完全接管帐户。此漏洞凸显了安全实施实践的重要性，许多网站要么忽视了这一点，要么缺乏执行的专业知识。

主动措施和工具

针对这些发现，Salt Labs 发布了其方法和免费扫描工具，以帮助网站运营商识别和解决潜在的 OAuth XSS 实施问题。这种主动方法旨在在风险升级为重大安全漏洞之前减轻风险。虽然 Balmas 警告说不能保证 100% 成功，但该工具为组织提供了一个宝贵的预警系统，以加强其安全态势。

Salt Labs 的发现提醒我们，即使是像 OAuth 这样广受信赖的技术也需要谨慎、安全地实施。随着数字环境的不断发展，我们也必须保持警惕，并致力于实施强有力的网络安全措施。