最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

LEGO BrickLink漏洞让黑客劫持帐户、破坏服务器

网络安全 快米云 来源:快米云 33浏览

LEGO BrickLink 漏洞让黑客劫持帐户、破坏服务器

安全分析师在 BrickLink.com 发现了两个 API 安全漏洞,BrickLink.com 是 LEGO Group 的官方二手和古董乐高积木市场。

BrickLink 是全球最大的乐高粉丝在线社区,拥有超过一百万的注册会员。

BrickLink 主页
BrickLink 主页 (news.zzqidc.com)

Salt Security 发现的两个 API 安全问题可能允许攻击者接管会员帐户、访问和窃取存储在平​​台上的个人身份信息 (PII),甚至访问内部生产数据并破坏内部服务器。

API缺陷详情

Salt Security 的分析师在对 BrickLink 网站上的用户输入字段进行试验时发现了这些漏洞。

第一个是优惠券搜索部分的“查找用户名”对话框中的跨站点脚本 (XSS) 漏洞,攻击者可以使用特制链接在目标机器上注入和执行代码。

现场易受攻击的领域
站点上的漏洞字段 (news.zzqidc.com)

使用在不同页面上公开的目标会话 ID,攻击者可以利用 XSS 漏洞劫持会话并接管目标帐户。

访问该帐户意味着公开存储在平台上的所有数据,包括个人详细信息、电子邮件地址、送货地址、订单历史记录、优惠券、收到的反馈、想要的物品和消息历史记录。

第二个漏洞位于“上传到求购列表”页面,用户可以在该页面上传包含他们希望查找和购买的乐高零件的 XML 列表。

通过利用端点解析机制中的缺陷,Salt Security 的分析师成功发起了 XML 外部实体 (XXE) 注入攻击,在其文件中添加了对外部实体的引用。

XXE 攻击使他们能够读取 Web 服务器上的文件并执行服务器端请求伪造 (SSRF) 攻击,这可能导致泄露服务器的 AWS EC2 令牌。

安全研究人员向乐高报告了发现的漏洞,该公司采取行动解决了所有问题。

网络攻击在购物季不断增加,而零售业是一个更具吸引力的目标,因为重点是业务的商业方面,而不是提高安全性。

建议购物者使用强大的帐户凭据,并在可用的情况下启用双因素身份验证。下订单时,如果可能的话,一个好的建议是使用访客帐户或虚拟/临时支付卡。

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » LEGO BrickLink漏洞让黑客劫持帐户、破坏服务器