Милиони уебсайтове са податливи на XSS атака чрез недостатък в прилагането на OAuth

Picture of Здравко Боджов
Здравко Боджов
Поверителност

Изследователи откриха и публикуваха подробности за XSS атака, която потенциално може да засегне милиони уебсайтове по света.

Salt Labs, изследователското звено на фирмата за сигурност на API Salt Security, откри и публикува подробности за атака с кръстосано скриптиране на сайтове (XSS), която потенциално може да засегне милиони уебсайтове по света.

Това не е продуктова уязвимост, която може да бъде поправена централно. Това е по-скоро проблем с прилагането на уеб код и масово популярно приложение: OAuth, използвана за влизане в социалните мрежи. Повечето разработчици на уебсайтове смятат, че бичът XSS е останал в миналото, решен чрез поредица от смекчаващи мерки, въведени през годините. Salt показва, че това не е непременно така.

С по-малка концентрация върху проблемите с XSS и приложение за социални влизания, което се използва широко и е лесно за придобиване и внедряване за минути, разработчиците могат да отклонят вниманието си от проблема. Тук има усещане за познатост, а познатостта ражда  грешки.

Основният проблем не е непознат. Нова технология с нови процеси, въведена в съществуваща екосистема, може да наруши установеното равновесие на тази екосистема. Това се е случило тук. Проблемът не е в OAuth, а в прилагането на OAuth в уебсайтовете. От Salt Labs откриха, че ако не се прилага внимателно и стриктно – а това рядко се случва – използването на OAuth може да отвори нов път за XSS, който заобикаля настоящите смекчаващи мерки и може да доведе до пълно превземане на акаунти.

Salt Labs публикува подробности за своите констатации и методологии, като се концентрира само върху две фирми: HotJar и Business Insider. Значението на тези два примера е, първо, че това са големи фирми със силно изразено отношение към сигурността, и второ, че количеството на личните данни, които HotJar потенциално притежава, е огромно. Ако тези две големи фирми са приложили неправилно OAuth, то вероятността уебсайтове с по-малко ресурси да са направили подобно нещо е огромна.

За сведение вицепрезидентът по изследванията на Salt Янив Балмас заявява, че проблеми с OAuth са открити и в уебсайтове като Booking.com, Grammarly и OpenAI, но не ги е включил в доклада си. „Това са само бедните души, които попаднаха под нашия микроскоп. Ако продължим да търсим, ще го открием и на други места. Сигурен съм в това на 100%“, казва той.

Тук ще се съсредоточим върху HotJar заради насищането на пазара, количеството лични данни, които събира, и ниската му обществена разпознаваемост. „Той е подобен на Google Analytics или може би е допълнение към Google Analytics“, обясни Балмас. „Той записва много данни за потребителските сесии на посетителите на уебсайтовете, които го използват – което означава, че почти всеки ще използва HotJar на сайтове, включително Adobe, Microsoft, Panasonic, Columbia, Ryanair, Decathlon, T-Mobile, Nintendo и още много други големи имена.“ Спокойно може да се каже, че милиони уебсайтове използват HotJar.

Целта на HotJar е да събира статистически данни за потребителите за своите клиенти. „Но от това, което виждаме в HotJar, той записва екранни снимки и сесии и следи за кликвания с клавиатурата и действия с мишката. Потенциално там се съхранява много чувствителна информация, като имена, имейли, адреси, лични съобщения, банкови данни и дори идентификационни данни, а вие и милиони други потребители, които може би не са чували за HotJar, сега зависите от сигурността на тази фирма, за да запази информацията ви поверителна.“ И Salt Labs е открила начин да достигне до тези данни.

(В интерес на HotJar трябва да отбележим, че на фирмата ѝ бяха необходими само три дни, за да отстрани проблема, след като Salt Labs го разкри.)

HotJar е следвала всички най-добри практики за предотвратяване на XSS атаки. Това е трябвало да предотврати типичните атаки. Но HotJar също така използва OAuth, за да позволява социални влизания. Ако потребителят избере да „влезе с Google“, HotJar пренасочва към Google. Ако Google разпознае предполагаемия потребител, той пренасочва обратно към HotJar с URL адрес, който съдържа таен код, който може да бъде прочетен. По същество атаката е просто метод за фалшифициране и прихващане на този процес и получаване на легитимни тайни за вход.

„За да комбинираме XSS с тази нова функция за социално влизане (OAuth) и да постигнем работеща експлоатация, използваме код на JavaScript, който стартира нов поток за влизане в OAuth в нов прозорец и след това прочита токена от този прозорец“, обяснява Балмас. Google пренасочва потребителя, но с тайните за вход в URL адреса. „JS кодът прочита URL адреса от новия таб (това е възможно, защото ако имате XSS на домейн в един прозорец, този прозорец след това може да достигне до други прозорци със същия произход) и извлича от него удостоверенията OAuth.“

По същество „атаката“ се нуждае само от изработена връзка към Google (имитираща опит за социално влизане в HotJar, но изискваща отговор „код токен“, а не просто „код“, за да се предотврати използването от HotJar на еднократния код); и метод за социално инженерство, който да убеди жертвата да кликне върху връзката и да започне атаката (като кодът се предава на нападателя). Това е основата на атаката: фалшива връзка (но такава, която изглежда легитимна), убеждаване на жертвата да щракне върху връзката и получаване на код за влизане в системата, който може да бъде използван.

„След като нападателят получи кода на жертвата, той може да започне нов поток за влизане в HotJar, но да замени своя код с кода на жертвата – което води до пълно превземане на акаунта“, съобщава Salt Labs.

Уязвимостта не е в OAuth, а в начина, по който OAuth се прилага от много уебсайтове. Напълно сигурното изпълнение изисква допълнителни усилия, които повечето уебсайтове просто не осъзнават и не въвеждат в действие, или просто нямат вътрешните умения за това.

От собствените си разследвания Salt Labs смята, че вероятно има милиони уязвими уебсайтове по света. Мащабът е твърде голям, за да може фирмата да разследва и уведомява всеки поотделно. Вместо това Salt Labs реши да публикува своите констатации, но в комбинация с безплатен скенер, който позволява на уебсайтовете на потребителите на OAuth да проверят дали са уязвими.

Скенерът е достъпен тук.

Той осигурява безплатно сканиране на домейни като система за ранно предупреждение. Чрез предварителното идентифициране на потенциални проблеми с прилагането на OAuth XSS Salt се надява организациите да ги решат активно, преди да са прераснали в по-големи проблеми. „Нямаме обещания“, коментира Балмас. „Не мога да обещая 100% успех, но има много голям шанс да успеем да направим това и поне да насочим потребителите към критичните места в мрежата им, които може да са свързани с този риск.“

 

#атаки
По материали от Интернет

Подобни

Онлайн пазарите са „оператори на данни“ по GDPR
5.12.2025
europe-2021308_1280
Неправомерни практики на Avast с лични данни
4.12.2025
avast
Genetec очертава тенденциите във физическата сигурност за 2026 г.
1.12.2025
Identity Security Enhances Network and Endpoint Security
Тайланд забранява събирането на ирисови сканирания от World iris scan
1.12.2025
iris-9285825_640
Техническа грешка или кибератака? OBR разследва преждевременно публикуване на Бюджета за есента
1.12.2025
3D rendering of high-speed data transferring effect, high technology for computer and mobile data
Кибератака срещу Френската футболна федерация
29.11.2025
fff

Споделете

Facebook
LinkedIn

Бюлетин

С нашия бюлетин ще бъдеш сред първите, които научават за нови заплахи, практични решения и добри практики. Напълно безплатно и с грижа за твоята сигурност.

Абонирай се сега!

Категории

Киберсигурност
Важно да знаете
Зловреден код
Уязвимости
Поверителност
Знаете ли как
Факти и данни
За родители
Aрхив

Следвайте ни

Facebook Linkedin Youtube Rss

Популярни

Измамническите сайтове в България: как да ги разпознаем, проверим и защитим себе си
6.10.2025
bulgaria3
Kак да разпознаем и реагираме на фишинг имейл
9.10.2025
phishing-6573326_1280
Черният петък - реални сделки или маркетингов мираж?
27.11.2025
black_cat_Saro_o_Neal_Alamy
Опасен фишинг под прикритието на Ямболския окръжен съд
5.11.2025
phishing

Бъди в крак с киберсигурността

Абонирай се за нашия бюлетин и получавай директно в пощата си най-важните новини, експертни съвети и практически насоки за киберхигиена и защита онлайн. Кратко, полезно и без спам.