Hotjar 及其他服务之所以容易受到这类攻击,是因为它们在实现 OAuth 授权协议时存在缺陷。网络犯罪分子可以通过发送一个指向目标服务的有效链接给受害者,一旦受害者点击该链接,攻击者就能完全控制其账户,执行任何操作或访问账户中存储的数据。
Salt Security 的研究副总裁 Yaniv Balmas 指出,随着 OAuth 的普及,利用 XSS 攻击拦截发往 ChatGPT 等平台的网络流量的能力也随之增强。
自网络诞生之初,网络犯罪分子就开始使用 XSS 攻击。由于 OAuth 实现不当而产生的漏洞,现在为恶意行为者提供了使用这一众所周知的技术来访问敏感数据的机会。OAuth 是过去十年中实际上已成为标准的授权/认证协议。它允许应用程序在不需要密码的情况下,通过授权令牌来证明身份,从而访问特定数据。
鉴于 OAuth 的广泛使用,其被滥用的潜力是巨大的。大多数最终用户并不知道 OAuth 正在被用来在应用程序之间提供数据访问。
通常,网络犯罪分子会尽可能多地使用熟悉的策略和技术来破坏 IT 环境,而不是构建定制的恶意软件。XSS 攻击之所以仍然普遍,是因为利用授权协议所需的技能水平相对较低。实际上,随着生成式人工智能(Generative AI)的发展,发起网络攻击所需的专业知识水平只会继续下降。
实现 OAuth 的最佳安全实践
尽管存在实现 OAuth 的最佳安全实践,但并非每个网站都遵循它们。因此,网络犯罪分子正在寻找 OAuth 的易受攻击的实现,Balmas 指出。
网络犯罪分子特别擅长找到以新的方式扩展现有策略和技术的方法。
网络安全团队应该审查他们组织的 OAuth 实现情况。实施此协议的应用程序开发人员可能没有遵循最佳安全实践,犯错也相对容易。挑战在于,在需要修复的其他潜在漏洞中,找到时间来审查每个 OAuth 实例。
尽管如此,网络应用程序仍然是任何组织需要防御的最易受攻击的目标。因此,保护它们的警惕性必须是持续的,尤其是随着构建它们的新技术不断被添加到已经复杂的混合中。
扫描工具地址:
https://salt.security/labs/scan
原文始发于微信公众号(独眼情报):OAuth 协议的 XXS 漏洞免费扫描工具
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论