Salt Labs の研究者は、100 を超える機能や Web サイトが使用している現在のフレームワークの OAuth 脆弱性を認識しており、その難易度には CVE-2023-28131
、/PRNewswire/ — Salt Security
主要な API セーフティ会社である
は本日、 からの珍しいリスク分析を開始しました。 Salt Labs、万博の枠組みにおけるいくつかの重大な安全上の欠陥を特定しています。 この失敗は、Expo が利用する Originate Authorization (OAuth) ソーシャル ログイン機能の実装に現代的なものでした。この機能は、Fb、Google、Apple、Twitter による Expo フレームワークを利用して Web プロバイダーにログインするユーザーを感心させる能力を持っていました。アカウント。 これらの発見は、この 300 年と 60 年前に Reserving.com で発見された脆弱性に続く、Salt Labs OAuth ハイジャック シリーズの 2 番目の分析ファイルを指定します。 5 日間.
Expo の分析は、企業がサードパーティのフレームワークによって引き起こされる API の安全性の脆弱性の舞台となる可能性があることを示しており、この場合は間違いなく数百の Web サイトや機能の実装に影響を与えます。 調査結果は、このフレームワークを利用するサービスと製品は認証情報の漏洩に悩まされており、顧客のアカウントに対する大規模な寓話乗っ取り (ATO) を可能にし、有害な攻撃者が以下のことを可能にする可能性があることを示しました。
買い物客の身元を特定し、金銭詐欺を実行し、クレジット カード ファイルにエントリを作成します
プラットフォーム ユーザーを操作して、自分のアカウント全体を管理します
内部の最も特定可能なデータ (PII) とさまざまな静かな買い物客の漏洩サイトによって内部的に保存されたファイル
間違いなく、Fb、Google、Twitter、およびさまざまなオンライン プラットフォーム内で、侵害された買い物客に代わってアクションを実行します
Salt Security の分析部門であり、API 安全性教育のための公開フォーラムである Salt Labs は、API の安全性のギャップに気づき、脆弱性診断を備えました。 脆弱性を発見すると、Salt Labs の研究者は Expo と連携した開示慣行を採用しました。 Expo 発行の Salt Labs CVE-2023 -28131 そして、すべてのポイントがすぐに修正されました。 Expo の調査では、これらの欠陥が実際に悪用されたという証拠は得られませんでした。
「セキュリティの脆弱性はどのオンライン ページでも発生する可能性があります。問題となるのはその対応です。」 」と、Salt Security 社概要担当副社長の Yaniv Balmas 氏は述べています。 「OAuth が衝動的に企業の常態化する中、有害な攻撃者はその内部の安全性の脆弱性を攻撃しようと精力的に活動しています。OAuth の誤った実装は、貴重なファイルが公開されることになるため、企業と顧客の両方に必要な印象を与える可能性があり、組織は常にその問題に立ち止まらなければなりません」プラットフォーム内に存在する安全リスクの鼓動。”
この脆弱性は、Codecademy などを含む Expo を利用している数百社の企業にも影響を与える可能性があります
- 細胞の機能を生み出す枠組みとして、
エキスポ を使用すると、ビルダーは単一のコードベースを利用して、iOS、Android、および Web プラットフォーム用の高品質のネイティブ アプリを作成できます。 これは、事前の作業を簡素化し、迅速化するツール、ライブラリ、サービスと製品を提供します。
Salt Labs の研究者は、ソーシャル ログイン機能の安全性の脆弱性を偶然発見しました。 Expo によって着用され、OAuth と呼ばれる企業で使用されるプロトコルで利用されます。 Web サイト、Web サービス、製品全体で導入された OAuth により、ユーザーは従来の追加の買い物客登録やユーザー名/パスワード認証の代わりに、ソーシャル メディア アカウントを利用してエントリー サイトへの「ワンクリック」ログインを利用できるようになります。
OAuth は現在、Web サイトと対話する際にユーザーに非常に簡単な旅行を提供するという寓話で、非常に大きな分野で使用されています。 その一方で、その高度な技術的な停止待機により、悪用の適性との安全性のギャップが生じる実装エラーが発生する可能性があります。 Salt Labs の研究者は、Expo の Web ページ上の OAuth シーケンスの高品質なステップを操作することで、セッションをハイジャックし、Fable Takeover (ATO) を実行することもできると偶然思いつきました。 クレジットカード番号、個人的なメッセージに相当する買物客ファイルを使用し、ファイルとして機能すること。
Salt Labs は、Expo を利用して何百もの企業に電力を供給する能力を備えていたため、現在のオンライン Web サイトである Codecademy.com のこの脆弱性を偶然発見しました。 12 のプログラミング言語にわたる無料のコーディング レッスンを提供するプラットフォーム。 Google、LinkedIn、Amazon、Spotify などの企業は、従業員の教育に役立てるためにこのポジショニングを活用しており、このポジショニングのユーザー数は最大 1 億人に達します。 Salt Labs チームは、Codecademy Web ページで Expo の脆弱性を利用してアカウントを完全に管理するという問題に直面していました。
API セキュリティ ファイルの Salt Security Thunder、第 3 四半期 2022 )、Salt の顧客スキルを習得した API 攻撃 Web ページ訪問者数は 117% 増加しましたが、API Web ページ訪問者全体は 168% 増加しました。 Salt Security API セキュリティ プラットフォーム により、企業は、 にリストされているものを含む) 攻撃者によって悪用される前に、API のリスクと脆弱性を呼び出すことができます。 OWASP API セキュリティ トップ 10 。 このプラットフォームは、AI と ML が混合されたクラウドスケールの巨大なファイルを利用して、作成、デプロイ、実行時のフェーズという膨大なライフサイクル全体にわたって API を保護し、数百のユーザーと API のベースラインを作成します。 Salt は、最終的な API ライフサイクル全体にわたってコンテキストに基づいた洞察を引き渡すことにより、ユーザーが有害な行為者の偵察活動を検出し、目的を達成するよりも早くブロックできるようにします。 Salt Labs チームが実行したエクスプロイトにより、Salt プラットフォームはただちに攻撃に特化したものになっていたでしょう。
Salt Security についてさらに学習するか、デモを調査するには、ご相談ください )https://備考.salt.safety/demo.html.
Salt Securityについて Salt Security は、次の API を保護します。現在のあらゆるユーティリティの中核を生み出しています。 特許取得済みの API セキュリティ プラットフォームは、クラウド規模の巨大ファイルのエネルギーと時間をかけて検証された ML/AI を組み合わせて、API 攻撃を検出して阻止する実際の API 安全性解決策です。 Salt は、数百もの API とユーザーにわたるアクティビティを時間の経過とともに関連付けることで、API の検出、攻撃の防止、API の強化のためのリアルタイムの診断と忠実な洞察による深いコンテキストを提供します。 Salt プラットフォームは、現代のプログラム内に迅速かつシームレスに統合されて導入され、顧客に迅速な印象と安全性を提供するため、顧客は自信を持ってイノベーションを起こし、デジタル変革の取り組みを推進できます。 追加のファイルについては、次の担当者と相談してください:
ソルトセキュリティ
デックス・ポリッツィ
Lumina Communications for Salt Security Salt@luminapr.com
マルチメディアをダウンロードするための長年の発言を見てください: https://www.prnewswire.com/files-releases/salt-safety-uncovers-api-safety-flaws-in-expo-framework-risking-fable-takeover-credit-card-and-pii-何百ものオンライン サービスと製品での暴露 – 修復されたポイント-301832960.html
ソース ソルト セキュリティ
𝚆𝚊𝚝𝚌𝚑 𝙽𝙾𝚆 📺