研究人员发现,广泛使用的乐高在线市场中的 API 缺陷可能允许攻击者接管用户帐户、泄露存储在平台上的敏感数据,甚至获取内部生产数据的访问权限以危害公司服务。
Salt Labs 的研究人员发现了其中的漏洞 Bricklink,一个数字转售平台,由 乐高集团 购买和销售二手乐高积木,证明——无论如何,在技术方面——并非公司的所有玩具都能完美地卡入到位。
Salts Labs 安全研究员 Shiran Yodev,Salts Labs 安全研究员 Shiran Yodev 在 报告 于 15 月 XNUMX 日发布。
研究人员在网站允许用户输入的部分发现了每个可被利用进行攻击的核心缺陷,他们说这通常是 API 安全问题的地方—— 一个复杂且代价高昂的问题 对于组织——出现。
他们说,其中一个缺陷是跨站点脚本 (XSS) 漏洞,该漏洞使他们能够通过精心设计的链接在受害最终用户的机器上注入和执行代码。 另一个允许执行 XML 外部实体 (XXE) 注入攻击,其中包含对外部实体的引用的 XML 输入由配置较弱的 XML 解析器处理。
API 弱点比比皆是
研究人员小心翼翼地强调,他们并不打算将乐高视为特别疏忽的技术提供商——相反,面向互联网的应用程序中的 API 缺陷非常普遍,他们说。
这是有一个关键原因的,Yodev 告诉 Dark Reading: 无论 IT 设计和开发团队的能力如何, API安全 是所有 Web 开发人员和设计人员仍在探索的一门新学科。
“我们很容易在我们调查的各种在线服务中发现这些严重的 API 漏洞,”他说。 “即使是拥有最强大的应用程序安全工具和高级安全团队的公司,其 API 业务逻辑也经常存在漏洞。”
虽然通过生产前安全测试可以很容易地发现这两个缺陷,但“API 安全仍然是许多组织的事后考虑,”API 安全测试提供商 StackHawk 的联合创始人兼 CSO Scott Gerlach 指出。
“它通常在部署 API 之后才会发挥作用,或者在其他情况下,组织正在使用未构建的遗留工具来彻底测试 API,从而导致未发现跨站点脚本和注入攻击等漏洞,”他说.
个人兴趣,快速反应
调查乐高 BrickLink 的研究并不是要羞辱和责备乐高或“让任何人看起来很糟糕”,而是要证明“这些错误是多么普遍,并教育公司采取措施保护他们的关键数据和服务,”约德夫说。
研究人员说,乐高集团是世界上最大的玩具公司,也是一个知名度很高的品牌,确实可以引起人们对这个问题的关注。 该公司每年赚取数十亿美元的收入,这不仅是因为孩子们对使用乐高积木感兴趣,而且还因为整个成人爱好者社区——Yodev 承认他是其中之一——也收集和搭建乐高积木套装。
由于乐高积木的流行,BrickLink 拥有超过 1 万会员使用其网站。
研究人员于 18 月 23 日发现了这些漏洞,值得赞扬的是,当 Salt Security 于 10 月 XNUMX 日向公司披露这些问题时,乐高迅速做出回应,并在两天内确认了这一披露。 研究人员表示,Salt Labs 在 XNUMX 月 XNUMX 日不久后进行的测试证实,问题已得到解决。
“然而,由于乐高的内部政策,他们不能分享任何关于报告漏洞的信息,因此我们无法正面确认,”Yodev 承认。 此外,这项政策还可以防止 Salt Labs 确认或否认攻击者是否在野外利用了任何一个缺陷,他说。
解决漏洞
他们说,研究人员在 BrickLinks 的优惠券搜索功能的“查找用户名”对话框中发现了 XSS 漏洞,导致使用暴露在不同页面上的会话 ID 的攻击链。
“在‘查找用户名’对话框中,用户可以编写最终呈现为网页 HTML 的自由文本,”Yodev 写道。 “用户可以滥用这个开放字段来输入可能导致 XSS 条件的文本。”
尽管研究人员无法单独利用该缺陷发起攻击,但他们在另一个页面上发现了一个暴露的会话 ID,他们可以将其与 XSS 缺陷结合起来劫持用户会话并实现帐户接管 (ATO),他们解释说.
“不良行为者可能会使用这些策略来完全接管帐户或窃取敏感的用户数据,”Yodev 写道。
他们说,研究人员在平台的另一部分发现了第二个缺陷,该部分接收直接用户输入,称为“上传到通缉名单”,允许 BrickLink 用户上传 XML 格式的通缉乐高零件和/或套装列表。
Yodev 在博文中解释说,该漏洞是由于该站点的 XML 解析器如何使用 XML 外部实体而存在的,XML 外部实体是 XML 标准的一部分,它定义了称为实体或某种类型的存储单元的概念。 他写道,就 BrickLinks 页面而言,实现容易受到 XML 处理器可能泄露应用程序通常无法访问的机密信息的情况的影响。
研究人员利用该漏洞发起 XXE 注入攻击,允许在运行用户的权限下读取系统文件。 研究人员说,这种类型的攻击还可以允许使用服务器端请求伪造的额外攻击向量,这可能使攻击者能够获得在 Amazon Web Services 上运行的应用程序的凭据,从而破坏内部网络。
避免类似的 API 缺陷
研究人员分享了一些建议,以帮助企业避免产生类似的 API 问题,这些问题可能会在其自身环境中的面向 Internet 的应用程序中被利用。
Yodev 写道,在 API 漏洞的情况下,如果攻击者结合对各种问题的攻击或快速连续地进行攻击,他们可能会造成最大的损害,研究人员证明了 Lego 漏洞就是这种情况。
Yodev 写道,为避免 XSS 漏洞造成的情况,组织应遵循“永远不要相信用户输入”的经验法则。 “输入应该被适当地过滤和转义,”他补充说,并向组织推荐 XSS 预防备忘单 打开Web应用程序安全项目 (OWASP) 以获取有关此主题的更多信息。
Yodev 写道,组织在面向 Web 的网站上实施会话 ID 时也应该小心,因为它是“黑客的共同目标”,黑客可以利用它进行会话劫持和帐户接管。
他解释说:“处理它时要非常小心,不要将其暴露或滥用于其他目的,这一点很重要。”
最后,研究人员表示,阻止 XXE 注入攻击的最简单方法(如研究人员演示的那样)是在 XML 解析器的配置中完全禁用外部实体。 他们补充说,OWASP 还有另一个有用的资源,称为 XXE 预防备忘单,可以指导组织完成这项任务。
