लेगो मार्केटप्लेस में एपीआई की खामियां उपयोगकर्ता खातों, डेटा को खतरे में डालती हैं प्लेटोब्लॉकचेन डेटा इंटेलिजेंस। लंबवत खोज. ऐ.

लेगो मार्केटप्लेस में एपीआई की खामियां उपयोगकर्ता खातों, डेटा को जोखिम में डालती हैं

समय टिकट: 15 दिसंबर, 2022 9:59 पूर्वाह्न

व्यापक रूप से उपयोग किए जाने वाले लेगो ऑनलाइन मार्केटप्लेस में एपीआई की खामियां हमलावरों को उपयोगकर्ता खातों पर कब्जा करने, प्लेटफॉर्म पर संग्रहीत संवेदनशील डेटा को लीक करने और यहां तक ​​कि कॉर्पोरेट सेवाओं से समझौता करने के लिए आंतरिक उत्पादन डेटा तक पहुंच प्राप्त करने की अनुमति दे सकती हैं, शोधकर्ताओं ने पाया है।

साल्ट लैब्स के शोधकर्ताओं ने कमजोरियों की खोज की Bricklinkके स्वामित्व वाला एक डिजिटल पुनर्विक्रय मंच है लेगो समूह दूसरे हाथ के लेगो को खरीदने और बेचने के लिए, यह प्रदर्शित करते हुए कि - प्रौद्योगिकी-वार, वैसे भी - कंपनी के सभी खिलौनों के टुकड़े पूरी तरह से जगह में नहीं आते हैं।

नमक सुरक्षा के अनुसंधान शाखा ने साइट के उन क्षेत्रों की जांच करके दोनों कमजोरियों की खोज की जो उपयोगकर्ता इनपुट फ़ील्ड का समर्थन करते हैं, शिरान योदेव, साल्ट लैब्स सुरक्षा शोधकर्ता, ने खुलासा किया एक रिपोर्ट 15 दिसंबर को प्रकाशित।

शोधकर्ताओं ने साइट के कुछ हिस्सों में हमले के लिए उपयोग की जा सकने वाली प्रत्येक मुख्य खामियां पाईं जो उपयोगकर्ता इनपुट की अनुमति देती हैं, जो उन्होंने कहा कि अक्सर एक ऐसी जगह होती है जहां एपीआई सुरक्षा मुद्दे होते हैं - एक जटिल और महंगी समस्या संगठनों के लिए - उठो।

उन्होंने कहा कि एक दोष एक क्रॉस-साइट स्क्रिप्टिंग (XSS) भेद्यता थी, जिसने उन्हें एक तैयार लिंक के माध्यम से पीड़ित उपयोगकर्ता की मशीन पर कोड इंजेक्ट करने और निष्पादित करने में सक्षम बनाया। दूसरे को XML बाहरी इकाई (XXE) इंजेक्शन हमले के निष्पादन के लिए अनुमति दी गई है, जहां एक बाहरी इकाई के संदर्भ वाले XML इनपुट को कमजोर रूप से कॉन्फ़िगर किए गए XML पार्सर द्वारा संसाधित किया जाता है।

एपीआई कमजोरियां बहुत अधिक हैं

शोधकर्ता इस बात पर जोर देने के लिए सावधान थे कि वे लेगो को विशेष रूप से लापरवाह प्रौद्योगिकी प्रदाता के रूप में अलग करने का इरादा नहीं रखते थे - इसके विपरीत, इंटरनेट-सामना करने वाले अनुप्रयोगों में एपीआई दोष अविश्वसनीय रूप से आम हैं, उन्होंने कहा।

इसका एक प्रमुख कारण है, योदेव डार्क रीडिंग को बताते हैं: आईटी डिजाइन और विकास टीम की योग्यता से कोई फर्क नहीं पड़ता, एपीआई सुरक्षा एक नया अनुशासन है जिसे सभी वेब डेवलपर और डिज़ाइनर अभी भी समझ रहे हैं।

"हम सभी प्रकार की ऑनलाइन सेवाओं की जांच में इस प्रकार की गंभीर एपीआई कमजोरियों को आसानी से पाते हैं," वे कहते हैं। "यहां तक ​​कि सबसे मजबूत एप्लिकेशन सुरक्षा टूलिंग और उन्नत सुरक्षा टीमों वाली कंपनियां अक्सर अपने एपीआई व्यवसाय तर्क में अंतराल रखती हैं।"

जबकि दोनों खामियों को प्री-प्रोडक्शन सुरक्षा परीक्षण के माध्यम से आसानी से खोजा जा सकता था, "एपीआई सुरक्षा अभी भी कई संगठनों के लिए एक बाद का विचार है," स्कॉट गेरलाच, एक एपीआई सुरक्षा परीक्षण प्रदाता, स्टैकहॉक के सह-संस्थापक और सीएसओ कहते हैं।

"यह आमतौर पर तब तक काम में नहीं आता जब तक कि एक एपीआई पहले से ही तैनात नहीं किया गया हो, या अन्य मामलों में, संगठन एपीआई का पूरी तरह से परीक्षण करने के लिए विरासत टूलिंग का उपयोग नहीं कर रहे हैं, जिससे क्रॉस-साइट स्क्रिप्टिंग और इंजेक्शन हमलों जैसी कमजोरियों को अनदेखा किया जा रहा है," वे कहते हैं .

व्यक्तिगत रुचि, तीव्र प्रतिक्रिया

लेगो के ब्रिकलिंक की जांच करने के लिए शोध का मतलब लेगो को शर्मिंदा करना और दोष देना या "किसी को भी बुरा दिखाना" नहीं था, बल्कि यह प्रदर्शित करना था कि "ये गलतियाँ कितनी आम हैं और कंपनियों को अपने प्रमुख डेटा और सेवाओं की सुरक्षा के लिए उठाए जा सकने वाले कदमों पर शिक्षित करने के लिए" योदेव कहते हैं।

शोधकर्ताओं ने कहा कि लेगो ग्रुप दुनिया की सबसे बड़ी खिलौना कंपनी है और एक बड़े पैमाने पर पहचानने योग्य ब्रांड है जो वास्तव में इस मुद्दे पर लोगों का ध्यान आकर्षित कर सकता है। कंपनी प्रति वर्ष अरबों डॉलर का राजस्व कमाती है, न केवल लेगोस का उपयोग करने में बच्चों की रुचि के कारण बल्कि पूरे वयस्क शौकिया समुदाय के परिणामस्वरूप - जिनमें से योदेव मानते हैं कि वह एक है - जो लेगो सेट एकत्र और बनाता है।

लेगोस की लोकप्रियता के कारण, ब्रिकलिंक के 1 मिलियन से अधिक सदस्य हैं जो इसकी साइट का उपयोग करते हैं।

शोधकर्ताओं ने 18 अक्टूबर को खामियों की खोज की, और इसके श्रेय के लिए, लेगो ने तुरंत प्रतिक्रिया दी जब साल्ट सिक्योरिटी ने 23 अक्टूबर को कंपनी को मुद्दों का खुलासा किया, दो दिनों के भीतर प्रकटीकरण की पुष्टि की। शोधकर्ताओं ने कहा कि साल्ट लैब्स द्वारा किए गए परीक्षणों ने 10 नवंबर को कुछ ही समय बाद पुष्टि की कि मुद्दों को सुलझा लिया गया है।

"हालांकि, लेगो की आंतरिक नीति के कारण, वे रिपोर्ट की गई कमजोरियों के बारे में कोई जानकारी साझा नहीं कर सकते हैं, और इसलिए हम सकारात्मक पुष्टि करने में असमर्थ हैं," योदेव स्वीकार करते हैं। इसके अलावा, यह नीति साल्ट लैब्स को इस बात की पुष्टि या खंडन करने से भी रोकती है कि क्या हमलावरों ने जंगली में किसी भी दोष का शोषण किया है, वे कहते हैं।

कमजोरियों को एक साथ स्नैप करना

उन्होंने कहा कि शोधकर्ताओं ने ब्रिकलिंक्स के कूपन सर्च फंक्शनलिटी के "फाइंड यूजरनेम" डायलॉग बॉक्स में XSS दोष पाया, जिससे एक अलग पेज पर उजागर सत्र आईडी का उपयोग करके एक हमले की श्रृंखला का नेतृत्व किया।

योदेव ने लिखा, '''फाइंड यूजरनेम' डायलॉग बॉक्स में एक यूजर फ्री टेक्स्ट लिख सकता है, जो अंतत: वेबपेज के एचटीएमएल में रेंडर हो जाता है।'' "उपयोगकर्ता इस खुले क्षेत्र का दुरुपयोग टेक्स्ट इनपुट करने के लिए कर सकते हैं जिससे XSS स्थिति हो सकती है।"

हालांकि शोधकर्ता किसी हमले को माउंट करने के लिए अपने दम पर दोष का उपयोग नहीं कर सकते थे, उन्हें एक अलग पृष्ठ पर एक खुला सत्र आईडी मिला, जिसे वे उपयोगकर्ता के सत्र को हाइजैक करने और खाता अधिग्रहण (एटीओ) प्राप्त करने के लिए XSS दोष के साथ जोड़ सकते थे, उन्होंने समझाया .

योदेव ने लिखा, "खराब अभिनेता पूर्ण खाता अधिग्रहण या संवेदनशील उपयोगकर्ता डेटा चोरी करने के लिए इन युक्तियों का उपयोग कर सकते थे।"

उन्होंने कहा कि शोधकर्ताओं ने मंच के दूसरे हिस्से में दूसरी खामी का खुलासा किया जो सीधे उपयोगकर्ता इनपुट प्राप्त करता है, जिसे "अपलोड टू वांटेड लिस्ट" कहा जाता है, जो ब्रिकलिंक उपयोगकर्ताओं को एक्सएमएल प्रारूप में वांछित लेगो भागों और / या सेट की सूची अपलोड करने की अनुमति देता है।

योदेव ने पोस्ट में समझाया कि कैसे साइट का एक्सएमएल पार्सर एक्सएमएल एक्सटर्नल एंटिटीज का उपयोग करता है, एक्सएमएल मानक का एक हिस्सा जो एक अवधारणा को परिभाषित करता है, जिसे एक इकाई कहा जाता है, या किसी प्रकार की स्टोरेज यूनिट के कारण भेद्यता मौजूद थी। ब्रिकलिंक्स पृष्ठ के मामले में, कार्यान्वयन एक ऐसी स्थिति के प्रति संवेदनशील था जिसमें XML प्रोसेसर गोपनीय जानकारी का खुलासा कर सकता है जो आमतौर पर एप्लिकेशन द्वारा सुलभ नहीं होती है, उन्होंने लिखा।

शोधकर्ताओं ने XXE इंजेक्शन हमले को माउंट करने के लिए दोष का फायदा उठाया जो सिस्टम-फाइल को चल रहे उपयोगकर्ता की अनुमति के साथ पढ़ने की अनुमति देता है। शोधकर्ताओं ने कहा कि इस प्रकार का हमला सर्वर-साइड अनुरोध जालसाजी का उपयोग करके एक अतिरिक्त हमले वेक्टर के लिए भी अनुमति दे सकता है, जो एक हमलावर को अमेज़ॅन वेब सेवाओं पर चल रहे एप्लिकेशन के लिए प्रमाणिकता प्राप्त करने में सक्षम बनाता है और इस प्रकार एक आंतरिक नेटवर्क का उल्लंघन करता है।

समान एपीआई दोषों से बचना

शोधकर्ताओं ने उद्यमों को समान एपीआई मुद्दों को बनाने से बचने में मदद करने के लिए कुछ सलाह साझा की जिनका अपने स्वयं के वातावरण में इंटरनेट-फेसिंग अनुप्रयोगों पर शोषण किया जा सकता है।

एपीआई कमजोरियों के मामले में, हमलावर सबसे अधिक नुकसान पहुंचा सकते हैं यदि वे विभिन्न मुद्दों पर हमलों को जोड़ते हैं या उन्हें त्वरित उत्तराधिकार में संचालित करते हैं, योदेव ने लिखा, शोधकर्ताओं ने जो कुछ दिखाया वह लेगो दोषों के मामले में है।

योदेव ने लिखा, XSS दोष के साथ बनाए गए परिदृश्य से बचने के लिए, संगठनों को "उपयोगकर्ता इनपुट पर भरोसा नहीं करने के लिए" अंगूठे के नियम का पालन करना चाहिए। "इनपुट को ठीक से साफ किया जाना चाहिए और बच जाना चाहिए," उन्होंने संगठनों को XSS प्रिवेंशन चीट शीट का जिक्र करते हुए जोड़ा वेब एप्लिकेशन सुरक्षा परियोजना खोलें (ओडब्ल्यूएएसपी) इस विषय पर अधिक जानकारी के लिए।

योदेव ने लिखा, संगठनों को वेब-फेसिंग साइटों पर सत्र आईडी के कार्यान्वयन में भी सावधान रहना चाहिए क्योंकि यह "हैकर्स के लिए एक सामान्य लक्ष्य" है, जो सत्र अपहरण और खाता अधिग्रहण के लिए इसका लाभ उठा सकते हैं।

"इसे संभालते समय बहुत सावधान रहना महत्वपूर्ण है और इसे अन्य उद्देश्यों के लिए उजागर या दुरुपयोग नहीं करना चाहिए," उन्होंने समझाया।

अंत में, एक्सएक्सई इंजेक्शन हमलों को रोकने का सबसे आसान तरीका जैसा कि एक शोधकर्ताओं ने प्रदर्शित किया है, अपने एक्सएमएल पार्सर के कॉन्फ़िगरेशन में बाहरी संस्थाओं को पूरी तरह से अक्षम करना है, शोधकर्ताओं ने कहा। उन्होंने कहा कि OWASP के पास XXE प्रिवेंशन चीट शीट नामक एक अन्य उपयोगी संसाधन है जो इस कार्य में संगठनों का मार्गदर्शन कर सकता है।

समय टिकट:

से अधिक डार्क रीडिंग