安全研究人员显然已经发现了超过160万个由网站泄露的秘密,其中包括超过395000个由100万个最受欢迎的域公开的秘密。现代Web应用程序通常在客户端源代码的JavaScript文件中嵌入API密钥、加密机密和其他凭据。在专门为该任务开发的工具的帮助下,RedHunt Labs的研究人员通过对数百万个网站主页的“非侵入式”探测以及流行框架中使用的调试页面抛出的异常来寻找信息泄露漏洞。
RedHunt Labs的安全研究员Pinaki Mondal在一篇博文中说:“通过主机前端暴露的秘密数量惊人地多。 ”
“一旦一个有效的秘密被泄露,它就会为攻击者之间的横向移动铺平道路,他们可能会决定滥用商业服务帐户,从而导致经济损失或全面妥协。”
两次大规模扫描中的第一次集中在100万个访问量最大的网站上。它产生了395713个秘密,其中四分之三(77%)与谷歌服务reCAPTCHA、谷歌云或谷歌OAuth相关。
仅谷歌的reCAPTCHA就占了这些秘密的一半以上(212127),而前五名暴露的秘密类型由消息应用程序LINE和亚马逊网络服务(AWS)完成。
第二阶段涉及扫描约5亿台主机,发现了1280920个秘密,最常见的是与Strip 有关,其次是Google reCAPTCHA、Google Cloud API、AWS和Facebook。
两个阶段的大部分曝光(77%)发生在前端JavaScript文件中。
大多数JavaScript是通过内容交付网络(CDN)提供的,Squarespace CDN以超过197000次曝光处于领先地位。
Mondal将“几十年来”的秘密泄露问题归咎于“软件开发生命周期的复杂性”,并补充说:“随着代码库的扩大,开发人员经常无法在将敏感数据部署到生产环境之前对其进行编辑。”
RedHunt Labs研究团队说他们仍在“通过自动化持续向其源域报告秘密,前提是他们的主页上提到了电子邮件[地址]”。
研究人员表示,到目前为止,他们没有遇到与该研究相关的法律问题。
“我们收到了一些针对运行扫描的盒子的滥用报告,我们已经处理了它们,”他们说。
“非常非侵入性”的过程不涉及“每个域不超过几个HTTP请求”,也没有任何书面操作——“只发送了对HTTP URL和JavaScript文件的读取请求”。
研究人员补充说,与此同时,捕获的秘密“存储在一个加密卷上,只有非常有限的人可以访问”,并且“将在一个月后处理掉”。
Red Hunt Labs已开源为研究开发的工具并制作了演示视频:
称为HTTPLoot,它可以异步抓取和抓取URL,检查JavaScript文件中泄露的秘密,查找并完成表单以触发错误/调试页面,从调试页面中提取秘密,并自动检测技术堆栈。
Redhunt Labs制定了四种预防和缓解机密泄露的最佳实践,包括设置访问密钥限制、在受限环境或配置文件中集中管理机密、设置泄露机密警报以及持续监控源代码以发现信息泄露问题。
评论已关闭。