Güvenlik araştırmacıları bir milyondan fazla web sitesini etkileyen kritik bir güvenlik açığını ortaya çıkardı. Güvenlik açığı, OAuth uygulama kusurlarını çapraz site betikleme (XSS) saldırılarıyla birleştiriyor.
Güvenlik açığı, yaygın olarak kullanılan bir kimlik doğrulama protokolü olan OAuth ile uzun süredir devam eden bir web güvenliği sorunu olan XSS arasındaki etkileşimden kaynaklanmaktadır. XSS saldırıları, iyileştirilmiş güvenlik önlemleri nedeniyle daha az yaygın hale gelmiş olsa da, bu yeni istismar, bunları OAuth ile birleştirmenin geleneksel korumaları nasıl aşabileceğini göstermektedir.
Sorunun özünde OAuth’un birçok web uygulamasında nasıl uygulandığı yatıyor. Saldırganlar, meşru OAuth oturum açma girişimlerini taklit eden kötü amaçlı URL’ler oluşturabilir, kullanıcı hesaplarına yetkisiz erişim elde etmek için kimlik doğrulama sürecini engelleyebilir.
Bu teknik, kötü niyetli kişilerin standart XSS savunmalarını aşmalarına ve adlar, adresler, e-postalar, banka bilgileri ve kimlik bilgileri gibi hassas kullanıcı verilerini ifşa etmelerine olanak tanır.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Araştırma başlangıçta çok sayıda yüksek profilli şirket tarafından kullanılan popüler bir web analitiği hizmeti olan Hotjar’a odaklandı. Hotjar’ın sağlam güvenlik uygulamaları uygulamasına rağmen, araştırmacılar XSS ve OAuth kombinasyonunun hesap ele geçirmelerine yol açabileceğini buldu.
Bu güvenlik açığı o zamandan beri giderildi ve bu da tüm web uygulamalarında sürekli güvenlik izlemesinin gerekliliğini ortaya koydu.
Tuz araştırmacıları, “Saldırgan bir kurbanın kodunu ele geçirdiğinde Hotjar’da yeni bir oturum açma akışı başlatabilir, ancak kodunu kurbanın koduyla değiştirebilir ve bu da hesabın tamamen ele geçirilmesine yol açabilir” diye ekledi.
Salt Security, API’ler, OAuth ve web güvenliğiyle ilgili olanlar da dahil olmak üzere çok çeşitli güvenlik açıklarını tespit edebilen yeni bir araç geliştirdi.
Bu keşfin etkileri çok geniş kapsamlıdır ve Microsoft, Adobe, Columbia, Panasonic, Decathlon, RyanAir, Nintendo ve T-Mobile gibi önde gelen şirketlerin web sitelerini etkiler. Kimlik doğrulaması için OAuth kullanan herhangi bir web sitesi potansiyel olarak risk altında olabilir.
Bu tehdidi azaltmak için güvenlik uzmanları birkaç önlem öneriyor:
- Yetkisiz komut dosyası yürütülmesini önlemek için manuel giriş temizleme ve çıktı kodlamayı uygulayın.
- Dahili XSS koruması sunan React ve Angular gibi modern web çerçevelerini kullanın.
- JavaScript üzerinden erişimi engellemek için HTTP-Only niteliklerine sahip çerezler ayarlayın.
- Yürütülebilir betiklerin kaynaklarını kısıtlamak için içerik güvenliği politikalarını tanımlayın ve uygulayın.
Siber güvenlik manzarası gelişmeye devam ederken, bu keşif proaktif güvenlik önlemlerinin önemini ve geliştiricilerin ve güvenlik uzmanlarının farklı teknolojilerin nasıl etkileşime girdiğini dikkate alma ihtiyacını vurgulamaktadır. Milyonlarca web sitesinin potansiyel olarak risk altında olmasıyla, bu OAuth güvenlik açığını gidermek web güvenliği topluluğu için en önemli öncelik haline gelmiştir.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access