全球最大乐高用户社区曝出账户劫持漏洞
近日,Salt Security的安全分析师在乐高集团的官方积木市场BrickLink.com中发现了两个API安全漏洞。BrickLink是世界上最大的乐高粉丝在线社区,拥有超过一百万的注册会员。
Salt Security发现的两个API安全漏洞可允许攻击者接管用户帐户,访问和窃取存储在平台上的个人身份信息(PII),甚至访问乐高内部生产数据并破坏内部服务器。
Salt Security的分析师在BrickLink网站上的测试用户输入字段时发现了这些漏洞。
第一个是在“我的优惠券”的“查找用户名”对话框中的跨站脚本(XSS)漏洞,该漏洞允许攻击者使用特制链接在目标计算机上注入和执行代码(下图)。
利用不同页面上公开的目标会话ID,攻击者可以利用XSS漏洞劫持会话并接管目标帐户。
帐户接管意味着暴露存储在平台上的所有数据,包括个人详细信息、电子邮件地址、送货地址、订单历史记录、优惠券、收到的反馈、想要的项目和消息历史记录。
第二个漏洞位于“上传到愿望清单”页面上,用户可以在其中上传包含他们希望查找和购买的乐高零件的XML列表。
利用端点解析机制中的缺陷,Salt Security的分析师成功发起了XML外部实体(XXE)注入攻击,在其文件上添加了对外部实体的引用。
XXE攻击使他们能够读取Web服务器上的文件并执行服务器端请求伪造(SSRF)攻击,这可能导致泄露服务器的AWS EC2令牌。
安全研究人员向乐高报告了发现的漏洞,后者及时采取行动修复了所有问题。
总结
在假期在线购物季,网络攻击正在快速增长,零售业始终是黑客的热门目标,因为零售业更加关注业务而不是提高安全性。
建议电商网购用户使用强密码帐户,并在可用的情况下启用双因素身份验证。对于海淘用户,如果可能的话,最好使用访客帐户或虚拟/临时支付卡支付订单。
