知名玩具市场BrickLink因API安全漏洞面临风险,研究者发现XSS和XXE攻击可能泄露PII,强调API安全问题日益严重并可能导致大规模数据泄露。
乐高集团旗下的一个乐高转售平台被发现存在应用程序编程接口(API)安全漏洞,可能会使敏感客户信息面临风险。
Salt Security的研究团队Salt Labs进行的一项调查发现,BrickLink存在两个API安全漏洞。BrickLink是一个买卖乐高零件、迷你人模和积木的在线市场,拥有超过100万名会员。
研究人员表示,这些漏洞可能使威胁行为者能够对客户账户进行大规模账户接管(ATO)攻击,访问平台存储的个人身份信息(PII)用户数据,并获得内部生产数据,可能导致BrickLink内部服务器的全面入侵。
Salt Security研究副总裁Yaniv Balmas在2022年欧洲黑帽大会上向《信息安全杂志》解释说:“我们的发现将该系统的每个用户都处于风险之中。我们可能会访问用户存储的所有信息,包括个人数据和信用卡详细信息。”在Salt Labs与乐高采取协调一致的披露措施后,这些问题已得到解决。
在优惠券搜索功能的查找用户名对话框中发现了第一个安全问题。在这里,研究人员发现了一个跨站脚本(XSS)漏洞,使他们能够通过精心制作的链接在受害者终端用户的机器上注入和执行代码。然后,测试人员将XSS漏洞与暴露在不同页面上的会话ID链接在一起,允许他们劫持会话并实现ATO。Salt Labs表示,这种方法可以用于完整的ATO或窃取敏感用户数据。
第二个漏洞位于BrickLink的上传到通缉列表中,研究人员在其中执行了XML外部实体(XXE)注入攻击。这种情况发生在弱配置XML解析器处理包含外部实体引用的XML输入时。
这种策略允许他们读取web服务器上的文件,并执行服务器端请求伪造(SSRF)攻击,这种攻击可以用于各种恶意手段,包括窃取服务器的AWS EC2令牌。
Balmas是Salt Labs攻击安全团队的负责人,他强调,所有的API漏洞都是独特的,针对所涉及的组织。
Balmas指出,作为移动和web应用程序后端框架的api的使用在过去五年中呈指数级增长,估计有80%的互联网流量通过这些接口路由。这造成了严重的安全问题,Salt security发现过去一年API攻击流量增加了117%。
Balmas说:“api已经成为获取公司系统和用户数据的最大和最重要的攻击载体之一。随着组织的快速扩张,许多公司仍然没有意识到其平台中存在的API安全风险和漏洞的数量,这使得公司及其宝贵的数据暴露在不良分子面前。”
他认为,安全问题主要是由于过度关注api功能的快速开发而导致的,从而忽视了安全性。因此,api越来越多地被网络罪犯视为软目标。
Balmas概述道:“当你如此快速地进入生产环境时,这就意味着还有许多代码片段未被检查。2022年11月,Akamai的研究发现,在过去12个月里,金融服务行业检测到的web应用程序和API攻击数量同比激增3.5倍。
扫一扫
874
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
