OAuth

นักวิจัยได้ค้นพบและเผยแพร่รายละเอียดของการโจมตี XSS ที่อาจส่งผลกระทบต่อเว็บไซต์หลายล้านแห่งทั่วโลก Salt Labs ซึ่งเป็นหน่วยวิจัยของบริษัทด้านความปลอดภัย API Salt Security ได้ค้นพบและเผยแพร่รายละเอียดของการโจมตีแบบ cross-site scripting (XSS) ที่อาจส่งผลกระทบต่อเว็บไซต์หลายล้านแห่งทั่วโลก นี่ไม่ใช่ช่องโหว่ของผลิตภัณฑ์ที่สามารถแก้ไขได้จากส่วนกลาง แต่เป็นปัญหาการใช้งานระหว่างโค้ดของเว็บกับแอปที่เป็นที่นิยมมาก: OAuth ที่ใช้สำหรับการเข้าสู่ระบบด้วยโซเชียล นักพัฒนาเว็บไซต์ส่วนใหญ่เชื่อว่าปัญหา XSS เป็นเรื่องในอดีตที่ได้รับการแก้ไขโดยการบรรเทาหลายอย่างที่ถูกนำเสนอในช่วงหลายปีที่ผ่านมา Salt แสดงให้เห็นว่านี่ไม่จำเป็นต้องเป็นเช่นนั้น ด้วยความเข้มข้นที่ลดลงในปัญหา XSS และแอปการเข้าสู่ระบบด้วยโซเชียลที่ใช้อย่างกว้างขวางและสามารถซื้อและใช้งานได้ง่ายในไม่กี่นาที นักพัฒนาสามารถละสายตาจากปัญหาได้ มีความรู้สึกของความคุ้นเคยที่นี่ และความคุ้นเคยนี้นำไปสู่ความผิดพลาด ปัญหาพื้นฐานไม่ใช่เรื่องใหม่ เทคโนโลยีใหม่ที่มีการแนะนำกระบวนการใหม่เข้าสู่ระบบนิเวศที่มีอยู่สามารถทำให้สมดุลที่มีอยู่ของระบบนิเวศนั้นถูกรบกวน นี่คือสิ่งที่เกิดขึ้นที่นี่ ไม่ใช่ปัญหาของ OAuth แต่มันอยู่ที่การใช้งาน OAuth ภายในเว็บไซต์ Salt Labs พบว่า เว้นแต่ว่ามันจะถูกใช้งานด้วยความระมัดระวังและเข้มงวด – และบ่อยครั้งที่ไม่เป็นเช่นนั้น – การใช้ OAuth สามารถเปิดเส้นทาง XSS ใหม่ที่ข้ามการบรรเทาปัจจุบันและสามารถนำไปสู่การยึดบัญชีเต็มรูปแบบ Salt Labs ได้เผยแพร่รายละเอียดของการค้นพบและวิธีการของพวกเขา โดยมุ่งเน้นไปที่บริษัทเพียงสองแห่ง: HotJar และ […]