Başarısız düzeltmeden sonra web saldırısı vektörü kapatıldı
Gartner, Peer Insights widget’ında bulunan bir DOM XSS güvenlik açığını yamaladı; bu güvenlik açığı araştırmacılarının, yazılımın orijinal gelişimine kadar uzandığını tahmin ediyor.
Tarafından kaleme alınan kusurun teknik bir yazımında Justin Stevenyazılım güvenliği araştırmacısı, widget mevcut olduğunda “birçok web sitesinin” DOM tabanlı siteler arası komut dosyası çalıştırmaya (XSS) karşı savunmasız hale getirildiğini söyledi.
Güvenlik araştırmalarıyla ilgili en son haberleri ve analizleri takip edin
Gartner Peer Insights widget’ı, “belirli bir pazarda Gartner Peer Insights’ta bir satıcının incelemesinin ve derecelendirmelerinin birleştirilmiş, gerçek zamanlı görünümü” olarak tanımlanan ve sektördeki tedarikçilerin pazara “güvenilirlik ve güvenirlik” katmak için sitelerinde barındırmaya davet edildiği bir pazarlama aracıdır. dönüşümleri artırın”.
Bir web sitesi Gartner widget’ını kullandığında, widget.js gartner.com’dan bir etkinlik dinleyicisi oluşturur ve ardından mesaj sonrası oluşturmadan önce mesajlar div Widget’ın görüntülenmesi için.
Gartner.com etki alanına işaret eden gizli bir iframe, gartner.com’dan belirli bir sayfa ister ve bu da mesaj sonrası patent sayfasına mesaj. Bu mesaj verileri, widget’ın içeriğine doldurulacak HTML içeriğinin oluşturulmasında kullanılacaktır. div adlı bir işlev aracılığıyla içHTML.
Alt dizi maskaralıkları
Doğrulama, gönderen web sitesinin kaynağında görünen “gartner.com” dizesinin kontrol edilmesiyle gerçekleşir. Ancak, kontrol gibi bir web sitesinden bir saldırı başlatılarak atlanabilir. https://gartner.com.attacker.comçünkü bu yine de alt dize ölçütlerini karşılayacaktır.
Ayrıca, araştırmacı tarafından açıklanan içHTML bir DOM XSS “batması” olarak, çünkü birkaç XSS tetikleyicisi enjeksiyon üzerine ateşlenir. Örneğin, bir kurban kötü amaçlı bir web sitesini ziyaret ederse, hazırlanmış bir mesaj pencere.postMessage().
Steven, “Bu hazırlanmış mesaj, web sitesi bağlamında keyfi JavaScript çalıştırarak aktif içerik enjekte etmiş olabilir” dedi. “Bu, kötü amaçlı web sitesinin kurban site bağlamında tutulan kullanıcı verilerinin gizliliğini ve bütünlüğünü ihlal etmesine ve kimlik avı formu gibi keyfi ve zararlı içerik göstermesine izin verebilirdi.”
Saldırı, kurbanın web sitesine veya gartner.com’a trafik göndermeyi içermez. Bunun yerine, bu bir tarayıcı penceresinde gerçekleşen istemci tarafı bir saldırıdır.
Kavram Kanıtı (PoC) kodu, yararlanma testi sayfaları ve hatayı gösteren bir YouTube videosu artık herkese açık. Daha önce etkilenen web siteleri arasında diğerleri arasında Black Kite, Gradle, LogRhythm, SentinelOne, Synopsys, Veeam ve Vodafone yer alıyordu.
Steven, 2022’deki kodu analiz etti, ancak parçacığın arşivlenmiş bir sürümünü inceledikten sonra, “başlangıçtan itibaren DOM XSS sorununa karşı savunmasız görünüyor” dedi.
Yama ve tekrar yama
Gartner’a sorun 4 Kasım 2022’de bildirildi. Dört gün sonra analist firması raporu kabul etti ve araştırmacının sorunu HackerOne’daki özel böcek ödül programına göndermek isteyip istemediğini sordu.
ARKA PLAN Web Security Academy’de DOM tabanlı XSS hakkında bilgi edinin
19 Aralık’ta taktiksel bir düzeltme yayınlandı ve ardından Ocak ayında “tam bir onarım” yapıldı. Ancak Steven, bu ilk yamaların atlanabileceğine dair kanıt sağladı. Bu nedenle, DOM XSS’yi çözmek için 26 Ocak ve 2 Şubat’ta yeni düzeltmeler yayınlandı.
Steven, çalışmasını bir kamu danışmanı olarak yayınlamak istediğini söyledi. Ancak Gartner, araştırma “HackerOne programı dışında halka açıklanırsa” bir hata ödülü verilmeyeceğini söyledi ve bu nedenle araştırmacı, bir hata ödülü teklifini reddederek 3 Şubat’ta kamuya ifşa edilmesine yol açtı.
sihirli kadran
Ile konuşmak günlük yudum, Steven, kuruluşların widget’ları, analiz kodunu, izleyicileri, reklamları, müşteri destek sohbetini ve diğer işlevleri içeren üçüncü taraf, ön uç JavaScript kodunu sık sık güvenlik incelemeleri yapmayı düşünmesi gerektiğini söyledi. Alternatif olarak, tedarikçilerinin güvenlik süreci hakkında güvence aramalıdırlar.
Steven’a göre her durumda, yeni ön uç özellikleri uygulanırken mevcut kodun ve risk faktörlerinin bütünlüğü dikkate alınmalıdır.
günlük yudum Gartner’a ulaştı ve yanıt aldığımızda bu hikayeyi güncelleyeceğiz.
ŞUNLAR DA HOŞUNUZA GİDEBİLİR XSS Hunter, CORS hatalı yapılandırma tespiti dahil olmak üzere eklenen özelliklerle yeniden doğdu