Salt Labs hat in seinem Blogpost demonstriert, wie durch die Kombination von XSS mit OAuth neue Exploit-Möglichkeiten entstehen. Die Schwachstelle betraf auch die beliebte Plattform Hotjar, die mit über 1 Mio Websiten verbunden ist.
Hotjar, eine Plattform zur Analyse von Benutzerinteraktionen, war von einer XSS-Schwachstelle betroffen, die es Angreifern ermöglichte, über OAuth Zugangsdaten zu stehlen. Trotz umfassender Sicherheitsmaßnahmen war es möglich, über eine präparierte URL JavaScript-Code auszuführen und OAuth-Tokens auszulesen, die dann für Account-Übernahmen genutzt werden konnten.
Die Schwachstelle in Hotjar ist mittlerweile geschlossen, es ist aber anzunehmen, dass weitere prominente Anbieter ähnliche Schwachstellen aufweisen.
Ähnliche Beiträge:
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: