Hotjar: XSS Schwachstelle in OAuth betraf über 1 Mio Webseiten
Salt Labs hat in seinem Blogpost demonstriert, wie durch die Kombination von XSS mit OAuth neue Exploit-Möglichkeiten entstehen. Die Schwachstelle betraf auch die beliebte Plattform Hotjar, die mit über 1 Mio Websiten verbunden ist.
Hotjar, eine Plattform zur Analyse von Benutzerinteraktionen, war von einer XSS-Schwachstelle betroffen, die es Angreifern ermöglichte, über OAuth Zugangsdaten zu stehlen. Trotz umfassender Sicherheitsmaßnahmen war es möglich, über eine präparierte URL JavaScript-Code auszuführen und OAuth-Tokens auszulesen, die dann für Account-Übernahmen genutzt werden konnten.
Die Schwachstelle in Hotjar ist mittlerweile geschlossen, es ist aber anzunehmen, dass weitere prominente Anbieter ähnliche Schwachstellen aufweisen.