Özellikle, e-ticaret hizmetlerinde yansıtılan XSS’ye (RXSS) bakıyoruz. 7. yıllık hacker destekli güvenlik raporuna göre, XSS, e-ticaret organizasyonlarında bildirilen tüm hataların% 10’unu oluşturuyor ve bu da onu o sektördeki en iyi üç güvenlik açığı sınıfından biri haline getiriyor.
Bu blogda, Shopify’ın bağlı kuruluş programına giriş yaptıkları takdirde müşteri hesaplarından bilgi çalmak için kötüye kullanılabilecek gerçek bir Shopify RXSS hatasını inceleyeceğiz.
Yansıtılan XSS nedir?
Yansıtılan siteler arası komut dosyası (veya kısaca RXSS), kullanıcıdan tasarlanmayan girişin, Web sitesinin koduna, savunmasız site bağlamında tarayıcı JavaScript yürütülmesine izin verecek şekilde geri yansıtıldığı çok yaygın bir web güvenlik açığıdır. Saldırgan genellikle kötü amaçlı giriş ile bir bağlantı hazırlayarak ve JavaScript kodunu yürütmek ve kimlik doğrulamalı kullanıcı bağlamında bir işlem gerçekleştirmesi için oturum açmış bir kullanıcıya (müşteri veya hatta personel gibi) göndererek kullanabilir. Bu, hassas bilgilere yetkisiz erişime, yetkisiz materyalin oluşturulmasına (yeni kullanıcılar ve yayınlar gibi) ve hatta oturum açılan kullanıcının uygulama üzerinde idari işlevselliğe erişimi varsa ayrıcalık artışına yol açabilir.
Yansıtılan XSS’nin e -ticarette iş etkisi
- Müşteri Hesabı İhlali: RXSS genellikle kullanıcı etkileşimini kullanma gerektirdiğinden, müşteri hesapları ihlal edilen veya kimlik avı saldırıları yoluyla çalınan bilgiler gibi oldukça belirgin bir müşteri etkisi yaratabilir. Kötüye kullanımı, kimlik avı bağlantıları göndermek için kötü e -posta güvenlik kayıtları gibi yaygın yanlış yapılandırmalarla zincirlenebilir ve sonuç olarak bazı müşteriler hesaplarının risk altında olduğunu fark edebilir.
- Veri ihlali: Veriler kullanıcılardan eklenebilir, RXSS kullanılarak kullanılabilir ve karanlık web’de satılabilir. Saldırganlar, RXSS girişli bir kullanıcı oturumunda kullanıldığında kullanıcı profillerinden ve sitedeki diğer hassas alanlardan gelen bilgilere erişebildiğinden, kişisel olarak tanımlanabilir bilgileri (PII) çalabilir ve kuruluşunuzun hem finansal hem de yasal etkiyi deneyimlemesine neden olabilir.
- Hileli işlemler: E-ticaret uygulamaları açısından, başka bir kullanıcı olarak işlem gerçekleştirebilmek, paralarını çalmak için kullanıcı olarak hileli alımlar yapabilecekleri anlamına gelir (örneğin, bir alışveriş sitesinde sahte ürünler oluşturun ve kullanıcıları satın almaya zorlayın. RXSS). Bu, işletmenize ciddi finansal ve itibar hasarına neden olabilir.
Ayrıntılar: Hata Raporu
İyi Bug Bounty bilgisayar korsanlarının sıklıkla olduğu gibi, bu hacker yeni oluşturulan alanların üstünde idi; E-ticaret platformları genellikle büyük bir saldırı yüzeyine ve sürekli gelişen hizmetlere sahiptir. Bu durumda, hacker New Shopify COMP alanını test ediyordu ve içerik yaratıcılarının/etkileyicilerinin Milyonlarca markanın keşfetmesi ve reklamını yapmaları için yeni platformu barındırıyordu.
Önce Sitede erken erişim başvurusunda bulunarak bir hesap oluşturdu ve daha sonra sosyal medya hesabını yeni Shopify ortak işbirliği profiline bağladı. Giriş yaparken, login sonrası yönlendirme URL’sinin bir Concept of JavaScript protokol bağlantısı ile değiştirdiği bir Creator_Redirect parametresine sahip olduğunu fark etti. API.Collabs.shopify.com etki alanı açıkken tarayıcı penceresi bağlamında JavaScript’i yürütebildi.
Raporda, sadece belgenin tarayıcıdaki bağlamına erişebileceğini kanıtlamak için oldukça zararsız bir JavaScript değişkenine (Document.Domain) erişti:
Gerçek bir dünya saldırısında, kötü niyetli bir saldırgan, sayfaya bir geri arama kancası yüklemek için XSShunter’ı kullanmak, Getir () API ile birlikte oturum açılan kullanıcı olarak yetkisiz eylemler yapmak gibi, yürütülecek JavaScript’i uzaktan yükleyecektir. veya belgeye erişerek hassas veriler çalın.
İyileştirme
Genel olarak, kuruluşlar XSS sorunlarını, kullanılmadan önce uygun şekilde HTML kodlayan kullanıcı girişi gibi girdi sanitizasyonu ile düzeltir.
Bu hata durumunda, hata, kullanılmadan önce Creator_Redirect parametresinin dezenfekte edilmemesidir. “Yönlendirme” kelimesi, bir yönlendirme URL’si için kullanıldığını gösterir, yani açık bir yönlendirme güvenlik açığına karşı da savunmasız olabilir.
Bununla birlikte, sadece açık bir yönlendirme güvenlik açığı olarak bildirmek yerine, hacker, JavaScript: URL’ler kullanılabilir (normal bir https: // url yerine) kullanılabilirden bu yana yansıtılan bir XSS olduğunu buldu. JavaScript’i yeni bir web sitesine yönlendirmek yerine Spotify alt alan bağlamında yürütme yeteneği ile hacker, daha yüksek bir etki göstererek daha iyi ödemeye yol açtı. Bu durumda, uygun iyileştirme sadece Https: // ile başlayan URL’lere izin verin, ardından izin verilen bir alan adları listesi (cloct.shopify.com gibi).
Ayrıca, XSS filtrelemesi her zaman arka uç (Sunucu tarafında) Geçersiz girişi filtrelemek için herhangi bir ön uç JavaScript kullanmak yerine (JavaScript, başlangıçta sunucu yükünü hafifletmek için bir gönderim formunda girişi doğrulamak için kullanılabilir, ancak kontroller arka uçta da gerçekleştirilmelidir).
Çözüm
Yansıtılan XSS, web uygulamalarındaki en yaygın güvenlik açıklarından biridir, bu nedenle e-ticarette çok fazla ortaya çıkması şaşırtıcı değildir; Kötü niyetli aktörler tarafından sömürülürse, müşteriler üzerinde ciddi iş etkileri olabilir. Neyse ki, bu durumda, Shopify Bug -Bounty programındaki yeni alan hackerone topluluğundaki bilgisayar korsanları tarafından derhal test edildi ve güvenlik açığı hızlı bir şekilde bulundu ve sabitlendi.
Web uygulamanızı Hackerone ile XSS’den koruyun
Bir hata ödül programına sahip olmanın avantajı, topluluğumuzdaki bilgisayar korsanlarının yeni uygulamalarınızı, alan adlarınızı ve API uç noktalarınızı sürekli olarak test etmesidir. Hackerone ve etik hackerlar topluluğumuz, organizasyonların bir güvenlik açığını keşfetme konusundaki zihniyetini göz önünde bulundurarak, hata ödülünü (PTAA’lar), kod güvenlik denetimi veya diğer çözümleri, XSS ve diğer güvenlik açıklarını tanımlamalarına ve düzeltmelerine yardımcı olmak için en iyi donanımlıdır. .
İlk 10 Hackerone güvenlik açıklarının etkisi hakkında daha fazla bilgi edinmek için 7. yıllık Hacker Powered Güvenlik Raporunu indirin veya kuruluşunuzdaki XSS güvenlik açıklarını almaya başlamak için hackerone ile iletişime geçin.