Güçlü savunmalara rağmen, Cross-Site Scripting (XSS), istismarı giderek daha zorlu hale geldiğinden, kalıcı bir web güvenlik açığı olmaya devam ediyor.
Son zamanlarda yapılan bir keşif, modern bir kimlik doğrulama standardı olan OAuth’un güvenlik açığı bulunan web siteleriyle entegre edilmesinin XSS risklerini nasıl yeniden canlandırabileceğini ortaya koyuyor.
Saldırganlar, OAuth akışlarını manipüle ederek ve mevcut XSS açıklarından yararlanarak hassas verileri tehlikeye atabilir ve kötü amaçlı eylemler gerçekleştirebilir, geleneksel korumaları atlatabilir ve milyonlarca web sitesinde hesap ele geçirilmesini sağlayabilir.
Uzun zamandır var olan bir web güvenlik açığı olan XSS, saldırganların kötü amaçlı komut dosyalarını meşru web sayfalarına enjekte etmelerine ve kullanıcıları bu komut dosyalarını çalıştırmaya kandırmalarına olanak tanır.
How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide
Giriş doğrulama ve çıktı kodlama gibi geleneksel XSS savunmaları birçok riski azaltmış olsa da, web uygulamalarının evrimi ve kimlik doğrulama için OAuth’a olan güvenin artması yeni saldırı vektörlerini ortaya çıkardı.
Saldırganlar, XSS güvenlik açıklarından yararlanarak OAuth belirteçlerini çalabilir ve bu sayede birden fazla platformdaki kullanıcı hesaplarına ve hassas verilere yetkisiz erişim sağlayabilir.
Kullanıcı girdisini yansıtan savunmasız bir web sitesi bir XSS açığı yaratır. Kullanıcı girdisi olarak gizlenmiş kötü amaçlı HTML/JS enjekte ederek, saldırganlar kurbanın tarayıcısında keyfi kod yürütebilir.
Basit saldırılar için kullanılabilir, örneğin uyarı kutusu göstermek için; ancak hedef site çerez gibi hassas bilgileri depoluyorsa durum ciddileşir.
Tasarlanmış bir XSS saldırısı bu çerezleri çalabilir ve çerezler kimlik doğrulama bilgileri içeriyorsa saldırgana kurbanın hesabına erişim izni verebilir (tam devralma).
Geliştiriciler XSS saldırılarını önlemek için çeşitli stratejiler uygulayabilirler. Manuel giriş temizleme ve çıktı kodlaması, geliştiricilerin kullanıcı girişinin kötü amaçlı kod olarak yorumlanmamasını sağlamasını gerektirir.
Modern web çerçeveleri, gömülü değerlerin yürütülmesini önlemek için otomatik kaçış sağlar. HTTP-Only niteliği, çerezlere istemci tarafı betikleri tarafından erişilmesini engeller.
İçerik Güvenlik Politikası (CSP), yöneticilerin içerik için güvenilir kaynakları belirlemesine ve kötü amaçlı komut dosyalarını engellemesine olanak tanır.
Bu yöntemler gerekli olsa da, kusursuz değillerdir ve saldırganlar bunları aşmanın yollarını bulabilirler.
Salt Security, kullanıcıları yönlendirmek için URL’de “next” adlı bir parametrenin kullanıldığı web analitiği aracı Hotjar’daki bir güvenlik açığını açıklıyor.
Saldırgan, “sonraki” parametresine kötü amaçlı kod ekleyerek bu güvenlik açığından faydalanabilir ve tarayıcının kullanıcıyı yönlendirmesini sağlayabilir.
.webp)
Bu güvenlik açığını, Hotjar JavaScript kodunda kullanıcı girdilerinin kaynaklarını arayarak ve ardından kodun nasıl işlendiğini görmek için hata ayıklayarak buldular.
Bir saldırgan, sosyal oturum açma için OAuth kullanan bir web sitesindeki XSS güvenlik açığını istismar etti. Web sitesinin çerezleri HTTP-Only bayrağıyla korunuyordu ve bu da JavaScript’e erişilemez hale getiriyordu.
Ancak saldırgan, başarılı bir oturum açma işleminin ardından OAuth belirtecinin URL’ye eklenmiş olmasından yararlandı.
Kötü amaçlı JavaScript kodu, ayrı bir pencerede yeni bir OAuth girişi başlattı ve ardından belirteç, o pencerenin URL parçasından okundu.
Çalınan bu token, saldırganın kurbanın hesabını ele geçirmesine ve klavye tuşları ve fare hareketleri gibi kullanıcı etkinliği kayıtları gibi hassas bilgilere erişmesine olanak sağladı.
Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access