全球最大乐高用户社区曝出账户劫持漏洞

近日，Salt Security的安全分析师在乐高集团的官方积木市场BrickLink.com中发现了两个API安全漏洞。BrickLink是世界上最大的乐高粉丝在线社区，拥有超过一百万的注册会员。

Salt Security发现的两个API安全漏洞可允许攻击者接管用户帐户，访问和窃取存储在平台上的个人身份信息（PII），甚至访问乐高内部生产数据并破坏内部服务器。

Salt Security的分析师在BrickLink网站上的测试用户输入字段时发现了这些漏洞。

第一个是在“我的优惠券”的“查找用户名”对话框中的跨站脚本（XSS）漏洞，该漏洞允许攻击者使用特制链接在目标计算机上注入和执行代码（下图）。

利用不同页面上公开的目标会话ID，攻击者可以利用XSS漏洞劫持会话并接管目标帐户。

帐户接管意味着暴露存储在平台上的所有数据，包括个人详细信息、电子邮件地址、送货地址、订单历史记录、优惠券、收到的反馈、想要的项目和消息历史记录。

第二个漏洞位于“上传到愿望清单”页面上，用户可以在其中上传包含他们希望查找和购买的乐高零件的XML列表。

利用端点解析机制中的缺陷，Salt Security的分析师成功发起了XML外部实体（XXE）注入攻击，在其文件上添加了对外部实体的引用。

XXE攻击使他们能够读取Web服务器上的文件并执行服务器端请求伪造（SSRF）攻击，这可能导致泄露服务器的AWS EC2令牌。

安全研究人员向乐高报告了发现的漏洞，后者及时采取行动修复了所有问题。

总结

在假期在线购物季，网络攻击正在快速增长，零售业始终是黑客的热门目标，因为零售业更加关注业务而不是提高安全性。

建议电商网购用户使用强密码帐户，并在可用的情况下启用双因素身份验证。对于海淘用户，如果可能的话，最好使用访客帐户或虚拟/临时支付卡支付订单。