安全分析师在 BrickLink.com 发现了两个 API 安全漏洞,BrickLink.com 是 LEGO Group 的官方二手和古董乐高积木市场。
BrickLink 是全球最大的乐高粉丝在线社区,拥有超过一百万的注册会员。
Salt Security 发现的两个 API 安全问题可能允许攻击者接管会员帐户、访问和窃取存储在平台上的个人身份信息 (PII),甚至访问内部生产数据并破坏内部服务器。
API缺陷详情
Salt Security 的分析师在对 BrickLink 网站上的用户输入字段进行试验时发现了这些漏洞。
第一个是优惠券搜索部分的“查找用户名”对话框中的跨站点脚本 (XSS) 漏洞,攻击者可以使用特制链接在目标机器上注入和执行代码。
使用在不同页面上公开的目标会话 ID,攻击者可以利用 XSS 漏洞劫持会话并接管目标帐户。
访问该帐户意味着公开存储在平台上的所有数据,包括个人详细信息、电子邮件地址、送货地址、订单历史记录、优惠券、收到的反馈、想要的物品和消息历史记录。
第二个漏洞位于“上传到求购列表”页面,用户可以在该页面上传包含他们希望查找和购买的乐高零件的 XML 列表。
通过利用端点解析机制中的缺陷,Salt Security 的分析师成功发起了 XML 外部实体 (XXE) 注入攻击,在其文件中添加了对外部实体的引用。
XXE 攻击使他们能够读取 Web 服务器上的文件并执行服务器端请求伪造 (SSRF) 攻击,这可能导致泄露服务器的 AWS EC2 令牌。
安全研究人员向乐高报告了发现的漏洞,该公司采取行动解决了所有问题。
网络攻击在购物季不断增加,而零售业是一个更具吸引力的目标,因为重点是业务的商业方面,而不是提高安全性。
建议购物者使用强大的帐户凭据,并在可用的情况下启用双因素身份验证。下订单时,如果可能的话,一个好的建议是使用访客帐户或虚拟/临时支付卡。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » LEGO BrickLink漏洞让黑客劫持帐户、破坏服务器
