全球最大樂高用戶社區曝出賬戶劫持漏洞
近日,Salt Security的安全分析師在樂高集團的官方積木市場BrickLink.com中發現了兩個API安全漏洞。BrickLink是世界上最大的樂高粉絲在線社區,擁有超過一百萬的注冊會員。
Salt Security發現的兩個API安全漏洞可允許攻擊者接管用戶帳戶,訪問和竊取存儲在平臺上的個人身份信息(PII),甚至訪問樂高內部生產數據并破壞內部服務器。
Salt Security的分析師在BrickLink網站上的測試用戶輸入字段時發現了這些漏洞。
第一個是在“我的優惠券”的“查找用戶名”對話框中的跨站腳本(XSS)漏洞,該漏洞允許攻擊者使用特制鏈接在目標計算機上注入和執行代碼(下圖)。
利用不同頁面上公開的目標會話ID,攻擊者可以利用XSS漏洞劫持會話并接管目標帳戶。
帳戶接管意味著暴露存儲在平臺上的所有數據,包括個人詳細信息、電子郵件地址、送貨地址、訂單歷史記錄、優惠券、收到的反饋、想要的項目和消息歷史記錄。
第二個漏洞位于“上傳到愿望清單”頁面上,用戶可以在其中上傳包含他們希望查找和購買的樂高零件的XML列表。
利用端點解析機制中的缺陷,Salt Security的分析師成功發起了XML外部實體(XXE)注入攻擊,在其文件上添加了對外部實體的引用。
XXE攻擊使他們能夠讀取Web服務器上的文件并執行服務器端請求偽造(SSRF)攻擊,這可能導致泄露服務器的AWS EC2令牌。
安全研究人員向樂高報告了發現的漏洞,后者及時采取行動修復了所有問題。
總結
在假期在線購物季,網絡攻擊正在快速增長,零售業始終是黑客的熱門目標,因為零售業更加關注業務而不是提高安全性。
建議電商網購用戶使用強密碼帳戶,并在可用的情況下啟用雙因素身份驗證。對于海淘用戶,如果可能的話,最好使用訪客帳戶或虛擬/臨時支付卡支付訂單。
