Търсене
Close this search box.

Изследователи откриха и публикуваха подробности за XSS атака, която потенциално може да засегне милиони уебсайтове по света.

Salt Labs, изследователското звено на фирмата за сигурност на API Salt Security, откри и публикува подробности за атака с кръстосано скриптиране на сайтове (XSS), която потенциално може да засегне милиони уебсайтове по света.

Това не е продуктова уязвимост, която може да бъде поправена централно. Това е по-скоро проблем с прилагането на уеб код и масово популярно приложение: OAuth, използвана за влизане в социалните мрежи. Повечето разработчици на уебсайтове смятат, че бичът XSS е останал в миналото, решен чрез поредица от смекчаващи мерки, въведени през годините. Salt показва, че това не е непременно така.

С по-малка концентрация върху проблемите с XSS и приложение за социални влизания, което се използва широко и е лесно за придобиване и внедряване за минути, разработчиците могат да отклонят вниманието си от проблема. Тук има усещане за познатост, а познатостта ражда  грешки.

Основният проблем не е непознат. Нова технология с нови процеси, въведена в съществуваща екосистема, може да наруши установеното равновесие на тази екосистема. Това се е случило тук. Проблемът не е в OAuth, а в прилагането на OAuth в уебсайтовете. От Salt Labs откриха, че ако не се прилага внимателно и стриктно – а това рядко се случва – използването на OAuth може да отвори нов път за XSS, който заобикаля настоящите смекчаващи мерки и може да доведе до пълно превземане на акаунти.

Salt Labs публикува подробности за своите констатации и методологии, като се концентрира само върху две фирми: HotJar и Business Insider. Значението на тези два примера е, първо, че това са големи фирми със силно изразено отношение към сигурността, и второ, че количеството на личните данни, които HotJar потенциално притежава, е огромно. Ако тези две големи фирми са приложили неправилно OAuth, то вероятността уебсайтове с по-малко ресурси да са направили подобно нещо е огромна.

За сведение вицепрезидентът по изследванията на Salt Янив Балмас заявява, че проблеми с OAuth са открити и в уебсайтове като Booking.com, Grammarly и OpenAI, но не ги е включил в доклада си. „Това са само бедните души, които попаднаха под нашия микроскоп. Ако продължим да търсим, ще го открием и на други места. Сигурен съм в това на 100%“, казва той.

Тук ще се съсредоточим върху HotJar заради насищането на пазара, количеството лични данни, които събира, и ниската му обществена разпознаваемост. „Той е подобен на Google Analytics или може би е допълнение към Google Analytics“, обясни Балмас. „Той записва много данни за потребителските сесии на посетителите на уебсайтовете, които го използват – което означава, че почти всеки ще използва HotJar на сайтове, включително Adobe, Microsoft, Panasonic, Columbia, Ryanair, Decathlon, T-Mobile, Nintendo и още много други големи имена.“ Спокойно може да се каже, че милиони уебсайтове използват HotJar.

Целта на HotJar е да събира статистически данни за потребителите за своите клиенти. „Но от това, което виждаме в HotJar, той записва екранни снимки и сесии и следи за кликвания с клавиатурата и действия с мишката. Потенциално там се съхранява много чувствителна информация, като имена, имейли, адреси, лични съобщения, банкови данни и дори идентификационни данни, а вие и милиони други потребители, които може би не са чували за HotJar, сега зависите от сигурността на тази фирма, за да запази информацията ви поверителна.“ И Salt Labs е открила начин да достигне до тези данни.

(В интерес на HotJar трябва да отбележим, че на фирмата ѝ бяха необходими само три дни, за да отстрани проблема, след като Salt Labs го разкри.)

HotJar е следвала всички най-добри практики за предотвратяване на XSS атаки. Това е трябвало да предотврати типичните атаки. Но HotJar също така използва OAuth, за да позволява социални влизания. Ако потребителят избере да „влезе с Google“, HotJar пренасочва към Google. Ако Google разпознае предполагаемия потребител, той пренасочва обратно към HotJar с URL адрес, който съдържа таен код, който може да бъде прочетен. По същество атаката е просто метод за фалшифициране и прихващане на този процес и получаване на легитимни тайни за вход.

„За да комбинираме XSS с тази нова функция за социално влизане (OAuth) и да постигнем работеща експлоатация, използваме код на JavaScript, който стартира нов поток за влизане в OAuth в нов прозорец и след това прочита токена от този прозорец“, обяснява Балмас. Google пренасочва потребителя, но с тайните за вход в URL адреса. „JS кодът прочита URL адреса от новия таб (това е възможно, защото ако имате XSS на домейн в един прозорец, този прозорец след това може да достигне до други прозорци със същия произход) и извлича от него удостоверенията OAuth.“

По същество „атаката“ се нуждае само от изработена връзка към Google (имитираща опит за социално влизане в HotJar, но изискваща отговор „код токен“, а не просто „код“, за да се предотврати използването от HotJar на еднократния код); и метод за социално инженерство, който да убеди жертвата да кликне върху връзката и да започне атаката (като кодът се предава на нападателя). Това е основата на атаката: фалшива връзка (но такава, която изглежда легитимна), убеждаване на жертвата да щракне върху връзката и получаване на код за влизане в системата, който може да бъде използван.

„След като нападателят получи кода на жертвата, той може да започне нов поток за влизане в HotJar, но да замени своя код с кода на жертвата – което води до пълно превземане на акаунта“, съобщава Salt Labs.

Уязвимостта не е в OAuth, а в начина, по който OAuth се прилага от много уебсайтове. Напълно сигурното изпълнение изисква допълнителни усилия, които повечето уебсайтове просто не осъзнават и не въвеждат в действие, или просто нямат вътрешните умения за това.

От собствените си разследвания Salt Labs смята, че вероятно има милиони уязвими уебсайтове по света. Мащабът е твърде голям, за да може фирмата да разследва и уведомява всеки поотделно. Вместо това Salt Labs реши да публикува своите констатации, но в комбинация с безплатен скенер, който позволява на уебсайтовете на потребителите на OAuth да проверят дали са уязвими.

Скенерът е достъпен тук.

Той осигурява безплатно сканиране на домейни като система за ранно предупреждение. Чрез предварителното идентифициране на потенциални проблеми с прилагането на OAuth XSS Salt се надява организациите да ги решат активно, преди да са прераснали в по-големи проблеми. „Нямаме обещания“, коментира Балмас. „Не мога да обещая 100% успех, но има много голям шанс да успеем да направим това и поне да насочим потребителите към критичните места в мрежата им, които може да са свързани с този риск.“

 

Източник: По материали от Интернет

Подобни публикации

12 октомври 2024

SOC: Инструментите за откриване на заплахи ни з...

Специалистите от оперативните центрове за сигурност (SOC) изпитват ...
11 октомври 2024

Новата актуализация на GitLab отстранява осем у...

В четвъртък (В България петък през нощта) GitLab обяви нов кръг от ...
11 октомври 2024

Атаките LotL: Предизвикателството и WatchGuard ...

В областта на киберсигурността все по-трудно се откриват атаки от т...
11 октомври 2024

Киберсигурността - стълбът за защита на нашия свят

Октомври е не само първият месец на есента, но и Месецът на киберси...
11 октомври 2024

31 милиона потребители са засегнати от хакерска...

Интернет архивът потвърди, че е бил хакнат и е претърпял нарушение ...
11 октомври 2024

LLM с изкуствен интелект, подобряващи лова на з...

Стартъпът за киберсигурност Simbian пусна на пазара три AI агента L...
11 октомври 2024

Предизвикателствата в областта на сигурността п...

Какви са приоритетите на CISO и лидерите по сигурността в сравнение...
Бъдете социални
Още по темата
09/10/2024

American Water претърпява с...

Най-голямото публично търгувано дружество за водоснабдяване...
07/10/2024

Comcast и Truist Bank постр...

Comcast Cable Communications и Truist Bank...
07/10/2024

Google Pay със случайни име...

Тази седмица потребителите бяха разтревожени от...
Последно добавени
12/10/2024

SOC: Инструментите за откри...

Специалистите от оперативните центрове за сигурност...
11/10/2024

Новата актуализация на GitL...

В четвъртък (В България петък през...
11/10/2024

Атаките LotL: Предизвикател...

В областта на киберсигурността все по-трудно...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!